Définitions de stratégie Azure Policy intégrées
Cette page est un index de définitions de stratégie intégrées Azure Policy.
Le nom de chaque définition intégrée est un lien vers la définition de stratégie dans le portail Azure. Utilisez le lien de la colonne Source pour voir la source dans le dépôt GitHub Azure Policy. Les définitions intégrées sont regroupées par la propriété category dans metadata. Pour accéder à une catégorie spécifique, utilisez Ctrll-F pour la fonction de recherche de votre navigateur.
API pour FHIR
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| API Azure pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans API Azure pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. | audit, Audit, désactivé, Désactivé | 1.1.0 |
| API Azure pour FHIR doit utiliser une liaison privée | API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. | Audit, Désactivé | 1.0.0 |
| CORS ne doit pas autoriser tous les domaines à accéder à votre API pour FHIR | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre API pour FHIR. Pour protéger votre API pour FHIR, supprimez l’accès pour tous les domaines et définissez explicitement les domaines autorisés à se connecter. | audit, Audit, désactivé, Désactivé | 1.1.0 |
Gestion des API
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés | Pour garantir la sécurité des données en transit, les API doivent être disponibles uniquement via des protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS. | Audit, Désactivé, Refus | 2.0.2 |
| Les appels de Gestion des API aux back-ends d’API doivent être authentifiés | Les appels de Gestion des API vers des back-ends doivent utiliser une forme d’authentification, par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends Service Fabric. | Audit, Désactivé, Refus | 1.0.1 |
| Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom | Pour améliorer la sécurité de l’API, Gestion des API doit valider le certificat de serveur backend pour tous les appels d’API. Activez l’empreinte numérique du certificat SSL et la validation du nom. | Audit, Désactivé, Refus | 1.0.2 |
| Le point de terminaison direct de Gestion des API ne doit pas être activé | L’API REST de gestion directe dans Gestion des API Azure contourne les mécanismes de contrôle d’accès en fonction du rôle, d’autorisation et de limitation d’Azure Resource Manager, ce qui augmente la vulnérabilité de votre service. | Audit, Désactivé, Refus | 1.0.2 |
| La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure. | Pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version d’API minimale doit être définie sur 01/12/2019 ou une version ultérieure. | Audit, Refuser, Désactivé | 1.0.1 |
| Les valeurs nommées des secrets de Gestion des API doivent être stockées dans Azure Key Vault | Les valeurs nommées représentent une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées en tant que texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour renforcer la sécurité de Gestion des API et des secrets, référencez les valeurs nommées des secrets à partir de Azure Key Vault. Azure Key Vault prend en charge la gestion précise des accès et les stratégies de rotation des secrets. | Audit, Désactivé, Refus | 1.0.2 |
| Le service Gestion des API doit utiliser une référence SKU qui prend en charge les réseaux virtuels | Avec les références SKU prises en charge pour la gestion des API, le déploiement de service dans un réseau virtuel déverrouille les fonctionnalités de sécurité et de mise en réseau avancées de la gestion des API, ce qui vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/apimvnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service | Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’authentification par nom d’utilisateur et mot de passe doit être désactivée pour Gestion des API | Pour mieux sécuriser le portail des développeurs, l’authentification par nom d’utilisateur et mot de passe dans Gestion des API doit être désactivée. Configurez l’authentification utilisateur par le biais de fournisseurs d’identité Azure AD ou Azure AD B2C et désactivez l’authentification par nom d’utilisateur et mot de passe par défaut. | Audit, Désactivé | 1.0.1 |
| Les abonnements à Gestion des API ne doivent pas être étendus à toutes les API | Les abonnements à Gestion des API doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données. | Audit, Désactivé, Refus | 1.1.0 |
| La version de la plateforme Gestion des API Azure doit être stv2 | La version de la plateforme de calcul stv1 Gestion des API Azure sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. Pour en savoir plus, voir https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les services Gestion des API pour désactiver l’accès aux points de terminaison de configuration de service public de Gestion des API | Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. | DeployIfNotExists, Désactivé | 1.1.0 |
| Modifier Gestion des API pour désactiver l’authentification par nom d’utilisateur et mot de passe | Pour mieux sécuriser les comptes d’utilisateur du portail des développeurs et leurs informations d’identification, configurez l’authentification utilisateur via les fournisseurs d’identité Azure AD ou Azure AD B2C, et désactivez l’authentification par nom d’utilisateur et mot de passe par défaut. | Modifier | 1.1.0 |
App Configuration
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| App Configuration doit désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| App Configuration doit utiliser une clé gérée par le client | Les clés gérées par le client offrent une protection améliorée des données en vous permettant de gérer vos clés de chiffrement. Cela est souvent nécessaire pour répondre aux exigences de conformité. | Audit, Refuser, Désactivé | 1.1.0 |
| App Configuration doit utiliser une référence SKU qui prend en charge la liaison privée | Lorsque vous utilisez une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les méthodes d’authentification locales doivent être désactivées pour les magasins App Configuration | La désactivation des méthodes d'authentification locales améliore la sécurité en garantissant que les magasins App Configuration nécessitent des identités Microsoft Entra exclusivement pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Refuser, Désactivé | 1.0.1 |
| Configurer les magasins App Configuration pour désactiver les méthodes d’authentification locales | Désactivez les méthodes d’authentification locales afin que vos magasins App Configuration nécessitent des identités Microsoft Entra exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2161954. | Modifier, Désactivé | 1.0.1 |
| Configurer App Configuration pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour App Configuration afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | Modifier, Désactivé | 1.0.0 |
| Configurer des zones DNS privées pour les points de terminaison privés connectés à App Configuration | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée peut être liée à votre réseau virtuel pour résoudre des instances App Configuration. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des points de terminaison privés pour App Configuration | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances de configuration d’application, vous réduisez les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Désactivé | 1.0.0 |
Plateforme d’application
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Auditer les instances Azure Spring Cloud où le suivi distribué n’est pas activé | Dans Azure Spring Cloud, les outils de suivi distribué permettent de déboguer et de superviser les interconnexions complexes entre les microservices dans une application. Ces outils doivent être activés et dans un état d’intégrité normal. | Audit, Désactivé | 1.0.0-preview |
| Azure Spring Cloud doit utiliser l’injection de réseau | Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. | Audit, Désactivé, Refus | 1.2.0 |
App Service
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les emplacements d’application App Service doivent être injectés dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements de l’application App Service doivent désactiver l'accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements des applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure | Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure | Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.4 |
| Le débogage à distance doit être désactivé pour les emplacements des applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressource doivent être activés pour les emplacements des applications App Service | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 1.0.0 |
| Pour permettre à toutes les ressources d’accéder à vos applications, aucun CORS ne doit être configuré dans vos emplacements d’application App Service | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent être accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent Java doivent utiliser une 'version de Java' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent être injectées dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 3.0.0 |
| Les applications App Service doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.1.0 |
| Les applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure | Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.0.0 |
| Les applications App Service doivent activer le trafic sortant non-RFC 1918 vers Azure Réseau virtuel | Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification doit être activée pour les applications App Service | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée | Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | Audit, Refuser, Désactivé | 4.1.0 |
| Les applications App Service doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service qui utilisent Java doivent utiliser une « version de Java » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications App Service qui utilisent PHP doivent utiliser une « version de PHP » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les applications App Service qui utilisent Python doivent utiliser une « version de Python » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les applications App Service Environment ne doivent pas être accessibles via Internet public | Pour garantir que les applications déployées dans App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans le réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, App Service Environment doit être déployé avec un équilibreur de charge interne. | Audit, Refuser, Désactivé | 3.0.0 |
| App Service Environment doit être configuré avec les suites de chiffrement TLS les plus fortes | Les deux suites de chiffrement minimales les plus fortes requises pour App Service Environment sont les suivantes : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Désactivé | 1.0.0 |
| App Service Environment doit être approvisionné avec les dernières versions | Autorisez uniquement la configuration d’App Service Environment version 2 ou 3. Les versions antérieures d’App Service Environment nécessitent une gestion manuelle des ressources Azure et présentent des limitations de mise à l’échelle accrues. | Audit, Refuser, Désactivé | 1.0.0 |
| App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| App Service Environment doit avoir TLS 1.0 et 1.1 désactivés | Les protocoles TLS 1.0 et 1.1 sont des protocoles obsolètes qui ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans App Service Environment. | Audit, Refuser, Désactivé | 2.0.1 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements des applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications App Service pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée lie un réseau virtuel à App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts dans une application de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.0.1 |
| Les emplacements des applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements d’application de fonction doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application de fonction qui utilisent Python doivent utiliser une 'version de Python' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| L’authentification doit être activée pour les applications de fonction | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications de fonction qui utilisent Java doivent utiliser une « version de Java » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications de fonction qui utilisent Python doivent utiliser une « version de Python » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
Attestation
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les fournisseurs Azure Attestation doivent désactiver l’accès réseau public | Pour améliorer la sécurité de la ressource Azure Attestation Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans aka.ms/azureattestation. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 1.0.0 |
| Les fournisseurs Azure Attestation doivent utiliser des points de terminaison privés | Les points de terminaison privés permettent de connecter les fournisseurs Azure Attestation à vos ressources Azure sans envoyer de trafic sur l’Internet public. En empêchant l’accès public, les points de terminaison privés aident à se prémunir contre les accès anonymes indésirables. | AuditIfNotExists, Désactivé | 1.0.0 |
Automanage
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Une identité managée doit être activée sur vos machines | Les ressources gérées par Automanage doivent avoir une identité managée. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : L’affectation du profil de configuration Automanage doit être conforme | Les ressources gérées par Automanage doivent présenter l’état Conformant ou ConformantCorrected. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les diagnostics de démarrage doivent être activés sur les machines virtuelles | Le diagnostic de démarrage des machines virtuelles Azure doit être activé. | Audit, Désactivé | 1.0.0-preview |
| Configurer des machines virtuelles à intégrer à Azure Automanage | Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage à l’étendue sélectionnée. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.4.0 |
| Configurer les machines virtuelles à intégrer à Azure Automanage avec un profil de configuration personnalisé | Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage avec votre propre profil de configuration personnalisé à votre étendue sélectionnée. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.4.0 |
| Hotpatch doit être activé pour les machines virtuelles Windows Server Azure Edition | Réduisez les redémarrages et installez rapidement les mises à jour avec les mises à jour correctives à chaud. Pour en savoir plus, voir https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Refuser, Désactivé | 1.0.0 |
Automatisation
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le compte Automation doit avoir une identité managée | Utilisez les identités managées comme méthode recommandée pour l’authentification auprès des ressources Azure à partir des runbooks. L’identité managée pour l’authentification est plus sécurisée et élimine la surcharge de gestion associée à l’utilisation du compte d’identification dans votre code de runbook. | Audit, Désactivé | 1.0.0 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes Automation doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition des ressources de votre compte Automation en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour le compte Azure Automation | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer le compte Azure Automation pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. | Modifier, Désactivé | 1.0.0 |
| Configurer des comptes Azure Automation pour désactiver l'accès réseau public | Désactivez l’accès réseau public pour le compte Azure Automation afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Modifier, Désactivé | 1.0.0 |
| Configurer des comptes Azure Automation avec des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Vous avez besoin d’une zone DNS privée correctement configurée pour vous connecter à un compte Azure Automation compte via Azure Private Link. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des connexions de point de terminaison privé sur des comptes Azure Automation | Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Azure Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les connexions de point de terminaison privé sur les comptes Automation doivent être activées | Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Active Directory
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les domaines gérés par Azure Active Directory Domain Services doivent utiliser le mode TLS 1.2 uniquement | Utilisez le mode TLS 1.2 uniquement pour vos domaines gérés. Par défaut, Azure AD Domain Services permet d’utiliser des méthodes de chiffrement comme NTLM v1 et TLS v1. Certaines applications héritées peuvent avoir besoin de ces chiffrements, mais étant considérés comme faibles, vous pouvez les désactiver si vous n’en avez pas l’utilité. Quand le mode TLS 1.2 uniquement est activé, les clients effectuant une demande qui n’utilise pas TLS 1.2 échouent. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Refuser, Désactivé | 1.1.0 |
Azure AI Services
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| Les journaux de diagnostic dans les ressources Azure AI services doivent être activés | Activez les journaux pour les ressources Azure AI services. Cela vous permet de recréer les pistes d’activité à des fins d’investigation, en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Arc
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : refuser la création ou la modification de la licence des mises à jour de sécurité étendues (ESU). | Cette stratégie vous permet de restreindre la création ou la modification des licences ESU pour les machines Arc Windows Server 2012. Pour plus d’informations sur la tarification, consultez https://aka.ms/ArcWS2012ESUPricing | Deny, Disabled | 1.0.0-preview |
| [Préversion] : activer la licence des mises à jour de sécurité étendues (ESU) pour protéger les machines Windows 2012 une fois leur cycle de vie de support terminé. | Activer la licence des mises à jour de sécurité étendues (ESU) pour protéger les machines Windows 2012 même une fois leur cycle de vie de support terminé. Pour découvrir comment préparer la livraison des mises à jour de sécurité étendues pour Windows Server 2012 via Azure Arc, visitez https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Pour plus d’informations sur la tarification, consultez https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Désactivé | 1.0.0-preview |
| Les étendues de liaison privée Azure Arc doivent être configurées avec un point de terminaison privé | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux étendues de liaison privée Azure Arc, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Audit, Désactivé | 1.0.0 |
| Les étendues de liaison privée Azure Arc doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Azure Arc ne peuvent pas se connecter via l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos ressources Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters Kubernetes prenant en charge Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Les serveurs Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les étendues de liaison privée Azure Arc pour désactiver l’accès au réseau public | Désactivez l’accès réseau public pour votre étendue de liaison privée Azure ARC afin que les ressources Azure Arc associées ne puissent pas se connecter aux services Azure Arc via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. | Modifier, Désactivé | 1.0.0 |
| Configurer les étendues Azure Arc Private Link pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour une résolution en étendues Private Link Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer des étendues de liaison privée Azure Arc avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée Azure Arc, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer des clusters Kubernetes prenant en charge Azure Arc pour utiliser une étendue de liaison privée Azure Arc | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Modifier, Désactivé | 1.0.0 |
| Configurer des serveurs Azure Arc pour utiliser une étendue de liaison privée Azure Arc | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Modifier, Désactivé | 1.0.0 |
Explorateur de données Azure
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Tous les administrateurs de base de données sur Azure Data Explorer doivent être désactivés | Désactivez tous les rôles d’administrateur de base de données pour restreindre l’octroi d’un rôle d’utilisateur hautement privilégié/administratif. | Audit, Refuser, Désactivé | 1.0.0 |
| Le cluster Azure Data Explorer doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés sur le cluster Azure Data Explorer, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, Désactivé | 1.0.0 |
| Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client | Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Data Explorer doit utiliser une référence SKU qui prend en charge la liaison privée | Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer des clusters Azure Data Explorer avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Data Explorer, vous pouvez réduire les risques de fuite de données. Pour plus d’informations : [ServiceSpecificAKA.ms]. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Data Explorer pour désactiver l’accès réseau public | La désactivation de la propriété d’accès réseau public arrête la connectivité publique pour qu’Azure Data Explorer soit accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive l’accès réseau public pour tous les clusters Azure Data Explorer. | Modifier, Désactivé | 1.0.0 |
| Le chiffrement de disque doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. | Audit, Refuser, Désactivé | 2.0.0 |
| Le chiffrement double doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès réseau public sur Azure Data Explorer doit être désactivé | La désactivation de la propriété d’accès réseau public améliore la sécurité en veillant à ce qu’Azure Data Explorer soit uniquement accessible à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.0.0 |
| L’injection de réseau virtuel doit être activée dans Azure Data Explorer | Sécurisez votre périmètre réseau à l’aide de l’injection de réseau virtuel qui vous permet d’appliquer des règles de groupe de sécurité réseau, de vous connecter localement et de sécuriser vos sources de connexion de données avec des points de terminaison de service. | Audit, Refuser, Désactivé | 1.0.0 |
Azure Databricks
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les clusters Azure Databricks doivent désactiver l’adresse IP publique | La désactivation de l’adresse IP publique des clusters dans les espaces de travail Azure Databricks renforce la sécurité en veillant à ce que les clusters ne soient pas exposés sur l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de travail Azure Databricks doivent se trouver dans un réseau virtuel | Les réseaux virtuels Azure offrent une sécurité et une isolation améliorées pour vos espaces de travail Azure Databricks, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Refuser, Désactivé | 1.0.2 |
| Les espace de travail Databricks doivent être des références SKU Premium qui prennent en charge des fonctionnalités telles que la liaison privée et la clé gérée par le client pour le chiffrement | Autorisez uniquement l’espace de travail Databricks avec une référence SKU Premium que votre organisation peut déployer pour prendre en charge des fonctionnalités telles que la liaison privée et la clé gérée par le client pour le chiffrement. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adbpe. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de travail Azure Databricks doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez contrôler l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de travail Azure Databricks doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Databricks, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/adbpe. | Audit, Désactivé | 1.0.2 |
| Configurer l’espace de travail Azure Databricks pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour être résolue en espaces de travail Azure Databricks. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adbpe. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer des espaces de travail Azure Databricks avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de travail Azure Databricks, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/adbpe. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer les paramètres de diagnostic pour les espaces de travail Azure Databricks vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic pour les espaces de travail Azure Databricks afin de diffuser en continu les journaux de ressources vers un espace de travail Log Analytics quand un espace de travail Azure Databricks qui ne contient pas ces paramètres de diagnostic est créé ou mis à jour. | DeployIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressources dans les espaces de travail Azure Databricks doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
Azure Edge Hardware Center
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La prise en charge du double chiffrement doit être activée pour les appareils Azure Edge Hardware Center | Assurez-vous que la prise en charge du double chiffrement est activée pour les appareils commandés à partir d’Azure Edge Hardware Center, afin de sécuriser les données au repos sur l’appareil. Cette option ajoute une deuxième couche de chiffrement des données. | Audit, Refuser, Désactivé | 2.0.0 |
Azure Load Testing
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La ressource de test de charge Azure doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos de votre ressource Test de charge Azure. Par défaut, le chiffrement est effectué à l’aide de clés gérées par le service. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Refuser, Désactivé | 1.0.0 |
Azure Purview
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes Azure Purview doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos comptes Azure Purview plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/purview-private-link. | Audit, Désactivé | 1.0.0 |
Azure Stack Edge
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les appareils Azure Stack Edge doivent utiliser le chiffrement double | Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Azure Update Manager
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer la vérification périodique des mises à jour système manquantes sur les serveurs compatibles Azure Arc | Configurez l’auto-évaluation (toutes les 24 heures) des mises à jour du système d’exploitation sur les serveurs avec Azure Arc. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. Découvrez-en plus à ce sujet pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Configurer la recherche périodique des mises à jour système manquantes sur des machines virtuelles Azure | Configurez l’auto-évaluation (toutes les 24 heures) des mises à jour du système d’exploitation sur les machines virtuelles Azure natives. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. Découvrez-en plus à ce sujet pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». Découvrez-en plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Refuser, Désactivé | 3.7.0 |
| Planifier des mises à jour régulières à l’aide d’Azure Update Manager | Vous pouvez utiliser Azure Update Manager dans Azure pour enregistrer des planifications de déploiement périodiques afin d’installer des mises à jour du système d’exploitation pour vos machines Windows Server et Linux dans Azure, dans des environnements locaux et dans d’autres environnements cloud connectés à l’aide de serveurs avec Azure Arc. Cette stratégie modifie également le mode de correctif de la machine virtuelle Azure en « AutomaticByPlatform ». Pour en savoir plus : https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Désactivé | 3.10.0 |
Sauvegarde
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Sauvegarde Azure doit être installée dans des clusters AKS | Vérifiez l’installation de la protection de l’extension de sauvegarde dans vos clusters AKS pour tirer parti de Sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Sauvegarde Azure doit être activé pour les clusters AKS | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Sauvegarde Azure doit être activé pour les objets blob de comptes de stockage | Assurez la protection de vos comptes de stockage en activant Sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Sauvegarde Azure doit être activé pour les disques managés | Assurez la protection de vos disques managés en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les coffres Sauvegarde Azure doivent utiliser des clés gérées par le client pour chiffrer des données de sauvegarde. Une option également pour appliquer le chiffrement d’infrastructure. | Cette stratégie suit l’« effet » si les paramètres de chiffrement sont activés pour les coffres de sauvegarde dans l’étendue. Entre outre, l’option permettant de vérifier si le coffre de sauvegarde dispose également du chiffrement d’infrastructure activé. Pour en savoir plus, rendez-vous sur https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Veuillez noter que lorsque vous utilisez l’« effet », vous devez activer les paramètres de chiffrement sur les coffres de sauvegarde existants afin d’autoriser la poursuite d’autres opérations de mise à jour sur le coffre. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le coffre Recovery Services ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition du coffre Recovery Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. | Audit, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les coffres Recovery Services Azure pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public de votre coffre Recovery Services pour qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PublicNetworkAccess-Deny. | Modifier, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer la sauvegarde d’objets blobs sur les comptes de stockage avec une balise donnée dans un coffre de sauvegarde existant dans la même région | Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui contiennent une balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Préversion] : Configurer la sauvegarde d’objets blob pour tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde dans la même région | Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Préversion] : Configurer des coffres Recovery Services afin d’utiliser des zones DNS privées pour la sauvegarde | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour votre coffre Recovery Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Désactivé | 1.0.1-preview |
| [Préversion] : Configurer des coffres Recovery Services afin d’utiliser des points de terminaison privés pour la sauvegarde | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Notez que vos coffres doivent répondre à certaines conditions préalables pour être éligibles pour une configuration de point de terminaison privé. Plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : désactiver la restauration inter-abonnements pour des coffres Recovery Services Azure | Désactivez de façon temporaire ou permanente la restauration inter-abonnements pour votre coffre Recovery Services pour éviter que les cibles de restauration ne se trouvent dans un abonnement différent de celui du coffre. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/csrenhancements. | Modifier, Désactivé | 1.1.0-preview |
| [Préversion] : Désactiver la restauration inter-abonnements pour les coffres de sauvegarde | Désactivez de façon temporaire ou permanente la restauration inter-abonnements pour votre coffre de sauvegarde pour éviter que les cibles de restauration ne se trouvent dans un abonnement différent de celui du coffre. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/csrstatechange. | Modifier, Désactivé | 1.1.0-preview |
| [Préversion] : n’autorisez pas la création de coffres Recovery Services de redondance de stockage choisie. | Les coffres Recovery Services peuvent aujourd’hui être créés avec l’une des trois options de redondance de stockage, à savoir le stockage localement redondant, le stockage redondant interzone et le stockage géoredondant. Si les stratégies de votre organisation vous obligent à bloquer la création de coffres appartenant à un certain type de redondance, vous pouvez réaliser la même chose à l’aide de cette stratégie Azure. | Deny, Disabled | 1.0.0-preview |
| [Préversion] : l’immuabilité doit être activée pour les coffres de sauvegarde | Cette stratégie vérifie si la propriété des coffres immuables est activée pour les coffres de sauvegarde dans l’étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-ImmutableVaults. | Audit, Désactivé | 1.0.1-preview |
| [Aperçu] : l'immuabilité doit être activée pour les coffres Recovery Services | Cette stratégie vérifie si la propriété de coffres immuables est activée pour les coffres Recovery Services dans l'étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-ImmutableVaults. | Audit, Désactivé | 1.0.1-preview |
| [Préversion] : L’autorisation multi-utilisateur (MUA) doit être activée pour les coffres de sauvegarde. | Cette stratégie vérifie si l’autorisation multi-utilisateur est activée pour les coffres de sauvegarde. L’autorisation multi-utilisateur contribue à sécuriser vos coffres de sauvegarde en ajoutant une couche supplémentaire de protection aux opérations critiques. Pour plus d'informations, consultez https://aka.ms/mua-for-bv. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : L’autorisation multi-utilisateur (MUA) doit être activée pour les Coffres Recovery Services. | Cette stratégie vérifie si l’autorisation multi-utilisateur est activée pour les Coffres Recovery Services. L’autorisation multi-utilisateur contribue à sécuriser vos Coffres Recovery Services en ajoutant une couche supplémentaire de protection aux opérations critiques. Pour plus d'informations, consultez https://aka.ms/MUAforRSV. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : la suppression réversible doit être activée pour les coffres Recovery Services. | Cette stratégie vérifie si la suppression réversible est activée pour les coffres Recovery Services dans l’étendue. La suppression réversible vous permet de récupérer vos données même après leur suppression. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-SoftDelete. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : la suppression réversible doit être activée pour les coffres de sauvegarde | Cette stratégie vérifie si la suppression réversible est activée pour les coffres de sauvegarde dans l’étendue. La suppression réversible vous permet de récupérer vos données une fois supprimées. Pour en savoir plus, voir https://aka.ms/AB-SoftDelete | Audit, Désactivé | 1.0.0-preview |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Déployez les paramètres de diagnostic du coffre Recovery Services sur l’espace de travail Log Analytics pour les catégories propres à une ressource. | Déployez les paramètres de diagnostic du coffre Recovery Services afin de les envoyer vers l’espace de travail Log Analytics pour les catégories propres à une ressource. Si l’une des catégories propres à la ressource n’est pas activée, un nouveau paramètre de diagnostic est créé. | deployIfNotExists | 1.0.2 |
Batch
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. | Audit, Refuser, Désactivé | 1.0.1 |
| Le chiffrement de disque doit être activé sur les pools de Azure Batch | L’activation de Azure Batch le chiffrement de disque garantit que les données sont toujours chiffrées au repos sur votre nœud de calcul Azure Batch. En savoir plus sur le chiffrement de disque dans Batch à https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Désactivé, Refus | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Batch | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer des comptes batch pour désactiver l’authentification locale | Désactivez les méthodes d’authentification d’emplacement de sorte que vos comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. | Modifier, Désactivé | 1.0.0 |
| Configurer les comptes Batch pour désactiver l'accès au réseau public | Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. | Modifier, Désactivé | 1.0.0 |
| Configurer des comptes Batch avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des comptes Batch, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer - Configurer des zones DNS privées pour les points de terminaison privés qui se connectent aux comptes Batch | Les enregistrements DNS privés permettent d’établir des connexions privées aux points de terminaison privés. Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Pour plus d’informations sur les points de terminaison privés et les zones DNS dans Batch, consultez https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Désactivé | 1.0.0 |
| Des règles d’alerte de métrique doivent être configurées sur les comptes Batch | Auditez la configuration des règles d’alerte de métrique sur le compte Batch pour activer la métrique requise. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les connexions de point de terminaison privé sur les comptes Batch doivent être activées | Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Batch sur https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’accès au réseau public doit être désactivé pour les comptes Batch | Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Refuser, Désactivé | 1.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Bot Service
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le point de terminaison du service bot doit être un URI HTTPS valide | Les données peuvent être falsifiées pendant la transmission. Certains protocoles chiffrent les données pour résoudre les problèmes d’utilisation abusive et de falsification. Pour veiller à ce que vos bots communiquent uniquement sur des canaux chiffrés, définissez le point de terminaison sur un URI HTTPS valide. Ainsi, le protocole HTTPS est utilisé pour chiffrer vos données en transit, ce qui constitue souvent une exigence à des fins de conformité aux normes réglementaires ou du secteur. Consultez : https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | audit, audit, refus, refus, désactivé, désactivé | 1.1.0 |
| Bot Service doit être chiffré avec une clé gérée par le client | Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Le mode isolé doit être activé pour le service bot | Les robots doivent être définis en mode « isolé uniquement ». Ce paramètre configure les canaux Bot Service qui nécessitent la désactivation du trafic sur l’Internet public. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Bot Service doit avoir les méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’un bot utilise exclusivement AAD pour l’authentification. | Audit, Refuser, Désactivé | 1.0.0 |
| Bot Service doit avoir l’accès réseau public désactivé | Les robots doivent être définis en mode « isolé uniquement ». Ce paramètre configure les canaux Bot Service qui nécessitent la désactivation du trafic sur l’Internet public. | Audit, Refuser, Désactivé | 1.0.0 |
| Les ressources BotService doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. Le mappage de points de terminaison privés à votre ressource BotService réduit les risques de fuite de données. | Audit, Désactivé | 1.0.0 |
| Configurer les ressources BotService pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en ressources associées BotService. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les ressources BotService avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. Le mappage de points de terminaison privés à votre ressource BotService peut réduire les risques de fuite de données. | DeployIfNotExists, Désactivé | 1.0.0 |
Cache
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Cache pour Redis doit désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’Azure Cache pour Redis ne soit pas exposé sur l’Internet public. Vous pouvez limiter l’exposition d’Azure Cache pour Redis en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Cache pour Redis afin de désactiver des ports non SSL | Activez uniquement les connexions SSL à Azure Cache pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Modifier, Désactivé | 1.0.0 |
| Configurer Azure Cache pour Redis pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour votre ressource Azure Cache pour Redis afin qu’elle ne soit pas accessible via l’Internet public. Cela permet de protéger le cache contre les risques de fuite de données. | Modifier, Désactivé | 1.0.0 |
| Configurer Azure Cache pour Redis pour utiliser les zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée peut être liée à votre réseau virtuel pour être résolue en instance Azure Cache pour Redis. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Cache pour Redis avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Cache pour Redis, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Désactivé | 1.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
CDN
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les profils Azure Front Door doivent utiliser le niveau Premium qui prend en charge les règles WAF managées et la liaison privée | Azure Front Door Premium prend en charge les règles WAF managées Azure et la liaison privée aux origines Azure prises en charge. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Front Door Standard et Premium doivent exécuter au minimum la version 1.2 de TLS | La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que vos domaines personnalisés ne sont accessibles qu’à partir des clients utilisant TLS 1.2 ou une version plus récente. L’utilisation de versions de TLS antérieures à 1.2 n’est pas recommandée, car elles sont moins performantes et ne prennent pas en charge les algorithmes de chiffrement modernes. | Audit, Refuser, Désactivé | 1.0.0 |
| Sécuriser la connectivité privée entre Azure Front Door Premium et Stockage Blob Azure ou Azure App Service | La liaison privée garantit une connectivité privée entre AFD Premium et Azure Storage Blob ou Azure App Service sur le réseau principal Azure, sans que Azure Storage Blob ou Azure App Service soit exposé publiquement à Internet. | Audit, Désactivé | 1.0.0 |
ChangeTrackingAndInventory
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Configurer des machines Linux avec Arc à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications | Déployez l’association pour lier les machines Linux avec Arc à la règle de collecte de données spécifiée pour activer l’inventaire et le suivi des modifications. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les machines Linux avec Arc pour installer AMA pour l’inventaire et le suivi des modifications | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour activer l’inventaire et le suivi des modifications. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | préversion-1.3.0 |
| [Préversion] : Configurer des machines virtuelles Linux à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications | Déployez l’association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles Linux pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.4.0-preview |
| [Préversion] : configurer VMSS Linux pour qu’il soit associé à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles VMSS Linux pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l'extension Azure Monitor Agent sur les jeux d'échelles de vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | préversion-1.3.0 |
| [Préversion] : Configurer des machines Windows avec Arc à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications | Déployez l’association pour lier les machines Windows avec Arc à la règle de collecte de données spécifiée pour activer l’inventaire et le suivi des modifications. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les machines Windows avec Arc afin d’installer l’agent Azure Monitor pour l’inventaire et le suivi des modifications | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour activer l’inventaire et le suivi des modifications. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles Windows à associer à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des machines virtuelles Windows à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des machines virtuelles Windows pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer VMSS Windows pour qu’il soit associé à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer Windows VMSS pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l'extension Azure Monitor Agent sur les jeux d'échelles de vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.0.0-preview |
Cognitive Services
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes Cognitive Services doivent désactiver l’accès au réseau public | Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 3.0.1 |
| Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client | Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Refuser, Désactivé | 2.1.0 |
| Les comptes Cognitive Services doivent utiliser une identité managée | L’attribution d’une identité gérée à votre compte Cognitive Services permet de garantir une authentification sécurisée. Cette identité est utilisée par ce compte Cognitive Services pour communiquer avec d’autres services Azure, comme Azure Key Vault, de manière sécurisée et sans que vous ayez à gérer des informations d’identification. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Cognitive Services doivent utiliser le stockage appartenant au client | Utilisez le stockage appartenant au client pour contrôler les données stockées au repos dans Cognitive Services. Pour en savoir plus sur le stockage appartenant au client, visitez https://aka.ms/cogsvc-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Les services Cognitive Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.0 |
| Configurer les comptes Cognitive Services pour désactiver les méthodes d’authentification locales | Désactivez les méthodes d’authentification locales de sorte que vos comptes Cognitive Services nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/cs/auth. | Modifier, Désactivé | 1.0.0 |
| Configurer les comptes Cognitive Services pour désactiver l’accès au réseau public | Désactivez l’accès réseau public pour votre ressource Cognitive Services afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2129800. | Désactivé, Modifier | 3.0.0 |
| Configurer les comptes Cognitive Services pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en comptes Cognitive Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les comptes Cognitive Services avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Désactivé | 3.0.0 |
Calcul
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Références SKU des tailles de machine virtuelle autorisées | Cette stratégie vous permet de spécifier un ensemble de références de taille de machine virtuelle que votre organisation peut déployer. | Deny | 1.0.1 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
| Configurer la reprise d’activité sur les machines virtuelles en activant la réplication avec Azure Site Recovery | Les machines virtuelles sans configuration de récupération d’urgence sont vulnérables aux pannes et autres interruptions. Si la récupération d’urgence n’est pas encore configurée sur la machine virtuelle, cette opération produit le même effet en activant la réplication à l’aide de configurations prédéfinies pour faciliter la continuité des activités. Vous pouvez éventuellement inclure/exclure des machines virtuelles contenant une étiquette spécifiée pour contrôler l’étendue de l’attribution. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer les ressources d’accès au disque pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour un disque managé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des ressources d’accès au disque avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés aux ressources d’accès au disque, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les disques managés pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Modifier, Désactivé | 2.0.0 |
| Déployer l’extension Microsoft IaaSAntimalware par défaut pour Windows Server | Cette stratégie déploie une extension Microsoft IaaSAntimalware avec une configuration par défaut quand une machine virtuelle n’est pas configurée avec l’extension de logiciel anti-programme malveillant. | deployIfNotExists | 1.1.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques managés doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Audit, Désactivé | 2.0.0 |
| Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client | Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
| Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 3.0.0 |
| Protégez vos données avec des exigences d’authentification lors de l’exportation ou du chargement sur un disque ou un instantané. | Lorsque l’URL d’exportation/chargement est utilisée, le système vérifie si l’utilisateur dispose d’une identité dans Azure Active Directory, avec des autorisations nécessaires pour exporter/charger les données. Consultez la page aka.ms/DisksAzureADAuth. | Modifier, Désactivé | 1.0.0 |
| Exiger la mise à jour corrective automatique de l’image du système d’exploitation sur les groupes de machines virtuelles identiques | Cette stratégie applique l’activation de la mise à jour corrective automatique des images de système d’exploitation sur les groupes de machines virtuelles identiques afin d’assurer la sécurité des machines virtuelles par l’application sécurisée mensuelle des derniers correctifs de sécurité. | deny | 1.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
Applications de conteneur
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’authentification doit être activée sur Container Apps | L’authentification Container Apps est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’atteindre l’application conteneur ou authentifier celles qui ont des jetons avant qu’elles n’atteignent l’application conteneur | AuditIfNotExists, Désactivé | 1.0.1 |
| Les environnements Container App doivent utiliser l’injection réseau | Les environnements Container Apps doivent utiliser l’injection de réseau virtuel pour : 1. Isoler les applications conteneur de l’Internet public 2. Activer l’intégration réseau avec les ressources locales ou dans d’autres réseaux virtuels Azure 3. Gagner en granularité sur le trafic réseau entrant et provenant de l’environnement. | Audit, Désactivé, Refus | 1.0.2 |
| Container App doit être configurée avec le montage de volume | Appliquez l’utilisation de montages de volumes pour Container Apps afin de garantir la disponibilité de la capacité de stockage persistante. | Audit, Refuser, Désactivé | 1.0.1 |
| L’environnement Container Apps doit désactiver l’accès réseau public | Désactivez l’accès au réseau public pour améliorer la sécurité en exposant l’environnement Container Apps via un équilibreur de charge interne. Cela supprime la nécessité d’une adresse IP publique et empêche l’accès Internet à toutes les applications conteneur au sein de l’environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Container Apps doit désactiver l’accès réseau externe | Désactivez l’accès au réseau externe à vos applications conteneur en appliquant des entrées internes uniquement. Cela garantit que la communication entrante pour Container Apps est limitée aux appelants dans l’environnement Container Apps. | Audit, Refuser, Désactivé | 1.0.1 |
| Container Apps doit être accessible uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. La désactivation de « allowInsecure » entraîne la redirection automatique des requêtes de HTTP vers HTTPS pour les applications de conteneur. | Audit, Refuser, Désactivé | 1.0.1 |
| L’identité managée doit être activée pour les Container Apps | L’application de l’identité managée garantit que Container Apps peut s’authentifier de manière sécurisée auprès de n’importe quelle ressource prenant en charge l’authentification Azure AD | Audit, Refuser, Désactivé | 1.0.1 |
Instance de conteneur
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le groupe de conteneurs Azure Container Instances doit être déployé dans un réseau virtuel | Sécurisez les communications entre vos conteneurs avec les réseaux virtuels Azure. Lorsque vous spécifiez un réseau virtuel, les ressources au sein du réseau virtuel peuvent communiquer en toute sécurité et en privé entre elles. | Audit, Désactivé, Refus | 2.0.0 |
| Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement | Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé, Refus | 1.0.0 |
| Configurer les paramètres de diagnostic des groupes de conteneurs dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des instances de conteneur pour diffuser en continu des journaux de ressources vers un espace de travail Log Analytics quand n’importe quelle instance de conteneur qui n’a pas ces paramètres de diagnostic est créée ou mise à jour. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer les diagnostics pour le groupe de conteneurs dans l’espace de travail Log Analytics | Ajoute les champs workspaceId et workspaceKey spécifiés de l’analytique des journaux d’activité quand un groupe de conteneurs dont ces champs sont manquants est créé ou mis à jour. Ne modifie pas les champs des groupes de conteneurs créés avant l’application de cette stratégie, tant que ces groupes de ressources ne sont pas modifiés. | Ajouter, Désactivé | 1.0.0 |
Container Registry
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer les registres de conteneurs pour désactiver l’authentification anonyme. | Désactivez l’extraction anonyme pour votre registre afin que les données ne soient pas accessibles par un utilisateur non authentifié. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Modifier, Désactivé | 1.0.0 |
| Configurez les registres de conteneurs pour désactiver l’authentification par jeton d’audience ARM. | Désactivez les jetons d’audience ARM Azure Active Directory pour l’authentification auprès de votre registre. Seuls les jetons d’audience Azure Container Registry (ACR) seront utilisés pour l’authentification. Cela garantit que seuls les jetons destinés à l’utilisation sur le Registre peuvent être utilisés pour l’authentification. La désactivation des jetons d’audience ARM n’affecte pas l’authentification de l’utilisateur administrateur ou des jetons d’accès étendus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Modifier, Désactivé | 1.0.0 |
| Configurer les registres de conteneurs pour désactiver le compte administrateur local. | Désactivez le compte administrateur de votre registre afin que l’administrateur local ne puisse pas y accéder. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Modifier, Désactivé | 1.0.1 |
| Configurer les registres de conteneurs pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour votre ressource de registre de conteneurs afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. | Modifier, Désactivé | 1.0.0 |
| Configurer les registres de conteneurs pour désactiver le jeton d’accès délimité par le référentiel. | Désactivez les jetons d’accès délimités par le référentiel pour votre registre afin que les référentiels ne soient pas accessibles par les jetons. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Modifier, Désactivé | 1.0.0 |
| Configurer les registres de conteneurs pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en votre registre de conteneurs. Pour en savoir plus : https://aka.ms/privatednszone et https://aka.ms/acr/private-link. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les registres de conteneurs avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources de registre de conteneurs Premium, vous pouvez réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/privateendpoints et https://aka.ms/acr/private-link. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
| L’authentification anonyme des registres de conteneurs doit être désactivée. | Désactivez l’extraction anonyme pour votre registre afin que les données ne soient pas accessibles par un utilisateur non authentifié. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification du jeton d’audience ARM doit être désactivée pour les registres de conteneurs. | Désactivez les jetons d’audience ARM Azure Active Directory pour l’authentification auprès de votre registre. Seuls les jetons d’audience Azure Container Registry (ACR) seront utilisés pour l’authentification. Cela garantit que seuls les jetons destinés à l’utilisation sur le Registre peuvent être utilisés pour l’authentification. La désactivation des jetons d’audience ARM n’affecte pas l’authentification de l’utilisateur administrateur ou des jetons d’accès étendus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Audit, Refuser, Désactivé | 1.0.0 |
| Les exportations doivent être désactivées pour les registres de conteneurs | La désactivation des exportations améliore la sécurité en s’assurant que les données d’un registre sont accessibles uniquement via le plan de données (« docker pull »). Les données ne peuvent pas être déplacées hors du registre via « acr import » ni via « acr transfer ». Pour désactiver les exportations, l’accès au réseau public doit être désactivé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/export-policy. | Audit, Refuser, Désactivé | 1.0.0 |
| Le compte administrateur local des registres de conteneurs doit être désactivé. | Désactivez le compte administrateur de votre registre afin que l’administrateur local ne puisse pas y accéder. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Audit, Refuser, Désactivé | 1.0.1 |
| Le jeton d’accès délimité par le référentiel des registres de conteneurs doit être désactivé. | Désactivez les jetons d’accès délimités par le référentiel pour votre registre afin que les référentiels ne soient pas accessibles par les jetons. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. | Audit, Refuser, Désactivé | 1.0.0 |
| Les registres de conteneurs doivent avoir des références SKU qui prennent en charge les liaisons privées | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Refuser, Désactivé | 1.0.0 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Les registres de conteneurs doivent empêcher la création de règles de cache | Désactivez la création de règles de cache pour votre registre de conteneurs Azure afin d’empêcher le tirage avec des tirages de cache. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/cache. | Audit, Refuser, Désactivé | 1.0.0 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| L’accès réseau public doit être désactivé pour les registres de conteneurs | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les registres de conteneurs ne sont pas exposés sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources de registre de conteneurs. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. | Audit, Refuser, Désactivé | 1.0.0 |
Cosmos DB
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes Azure Cosmos DB ne doivent pas dépasser le nombre maximal de jours autorisés depuis la dernière regénération de clé de compte. | Regénérez vos clés dans le délai spécifié pour protéger davantage vos données. | Audit, Désactivé | 1.0.0 |
| Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Localisations Azure Cosmos DB autorisées | Cette stratégie vous permet de limiter les localisations que votre organisation peut spécifier pendant le déploiement de ressources Azure Cosmos DB. Utilisez-la pour appliquer vos exigences de conformité géographique. | [parameters('policyEffect')] | 1.1.0 |
| L’accès en écriture des métadonnées basé sur une clé Azure Cosmos DB doit être désactivé | Cette stratégie vous permet de vérifier que tous les comptes Azure Cosmos DB désactivent l’accès en écriture des métadonnées basé sur une clé. | append | 1.0.0 |
| Azure Cosmos DB doit désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte CosmosDB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Refuser, Désactivé | 1.0.0 |
| Le débit Azure Cosmos DB doit être limité | Cette stratégie vous permet de limiter le débit maximal que votre organisation peut spécifier pendant la création de bases de données et de conteneurs Azure Cosmos DB via le fournisseur de ressources. La création de ressources de mise à l’échelle automatique est bloquée. | audit, audit, refus, refus, désactivé, désactivé | 1.1.0 |
| Configurer les comptes de base de données Cosmos DB pour désactiver l’authentification locale | Désactivez les méthodes d'authentification locale afin que vos comptes de base de données Cosmos DB requièrent exclusivement les identités Azure Active Directory pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modifier, Désactivé | 1.1.0 |
| Configurer les comptes CosmosDB pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource CosmosDB afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modifier, Désactivé | 1.0.1 |
| Configurer les comptes CosmosDB pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résoudre en compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer les comptes CosmosDB avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte CosmosDB, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes de base de données Cosmos DB nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Déployer Advanced Threat Protection pour les comptes Cosmos DB | Cette stratégie active Advanced Threat Protection sur les comptes Cosmos DB. | DeployIfNotExists, Désactivé | 1.0.0 |
Fournisseur personnalisé
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Déployer des associations pour un fournisseur personnalisé | Déploie une ressource d’association qui associe les types de ressources sélectionnés au fournisseur personnalisé spécifié. Ce déploiement de stratégie ne prend pas en charge les types de ressources imbriqués. | deployIfNotExists | 1.0.0 |
Data Box
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil | Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil | Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. | Audit, Refuser, Désactivé | 1.0.0 |
Data Factory
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les pipelines Azure Data Factory ne doivent communiquer qu’avec des domaines autorisés | Pour empêcher l’exfiltration de données et de jetons, définissez les domaines avec lesquels Azure Data Factory doit être autorisé à communiquer. Remarque : en préversion publique, la conformité de cette stratégie n’est pas signalée et, pour que la stratégie soit appliquée à Data Factory, activez la fonctionnalité des règles de trafic sortant dans le studio ADF. Pour plus d’informations, consultez https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0-preview |
| Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. | Audit, Refuser, Désactivé | 1.0.1 |
| Le runtime d’intégration Azure Data Factory doit avoir une limite pour le nombre de cœurs | Pour gérer vos ressources et les coûts, limitez le nombre de cœurs pour un runtime d’intégration. | Audit, Refuser, Désactivé | 1.0.0 |
| Le type de ressource de service lié Azure Data Factory doit figurer dans la liste verte | Définir la liste verte des types de services liés Azure Data Factory. La restriction des types de ressources autorisés permet de contrôler la limite du déplacement des données. Par exemple, définissez une étendue afin d’autoriser uniquement le stockage d’objets blob avec Data Lake Storage Gen1 et Gen2 à des fins d’analytique, ou une étendue afin d’autoriser uniquement l’accès à SQL et Kusto pour les requêtes en temps réel. | Audit, Refuser, Désactivé | 1.1.0 |
| Les services liés Azure Data Factory doivent utiliser Key Vault pour le stockage des secrets | Pour garantir la gestion sécurisée des secrets (tels que les chaînes de connexion), demandez aux utilisateurs de fournir des secrets à l’aide d’un coffre de clés Azure au lieu de les spécifier inline dans les services liés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services liés Azure Data Factory doivent utiliser l’authentification par une identité managée affectée par le système lorsqu’elle est prise en charge | L’utilisation d’une identité managée affectée par le système lors de la communication avec les magasins de données par le biais de services liés permet d’éviter l’utilisation d’informations d’identification moins sécurisées, telles que les mots de passe ou les chaînes de connexion. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Data Factory doit utiliser un dépôt Git pour le contrôle de code source | Configurez uniquement votre fabrique de données de développement avec l’intégration Git. Les modifications apportées au niveau du test et de la production doivent être déployées par le biais de CI/CD et ne doivent PAS avoir d’intégration Git. N’appliquez PAS cette stratégie à vos fabriques de données AQ / de test / de production. | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer les fabriques de données pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre fabrique de données afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modifier, Désactivé | 1.0.0 |
| Configurer des zones DNS privées pour les points de terminaison privés qui se connectent à Azure Data Factory | Les enregistrements DNS privés permettent d’établir des connexions privées aux points de terminaison privés. Les connexions de points de terminaison privés permettent une communication sécurisée en fournissant une connectivité privée à Azure Data Factory sans nécessiter d’adresses IP publiques à la source ou à la destination. Pour plus d’informations sur les points de terminaison privés et les zones DNS dans Azure Data Factory, consultez https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des points de terminaison privés pour les fabriques de données | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Data Factory, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure Data Factory doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure Data Factory n’est accessible qu’à partir d’un point de terminaison privé. | Audit, Refuser, Désactivé | 1.0.0 |
| Les runtimes d’intégration SQL Server Integration Services sur Azure Data Factory doivent être joints à un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et un isolement supérieur pour vos runtimes d’intégration SQL Server Integration Services sur Azure Data Factory, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. | Audit, Refuser, Désactivé | 2.3.0 |
Data Lake
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Exiger un chiffrement sur les comptes Data Lake Store | Cette stratégie garantit que le chiffrement est activé sur tous les comptes Data Lake Store | deny | 1.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Virtualisation des postes de travail
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les pools d’hôtes Azure Virtual Desktop doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité et protège vos données en veillant à ce que l’accès au service Azure Virtual Desktop ne soit pas exposé à l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Les pools d’hôtes Azure Virtual Desktop doivent désactiver l’accès au réseau public uniquement sur les hôtes de session | La désactivation de l’accès au réseau public pour vos hôtes de session de pool d’hôtes Azure Virtual Desktop, tout en autorisant l’accès public pour les utilisateurs finaux, améliore la sécurité en limitant l’exposition à l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Le service Azure Virtual Desktop doit utiliser une liaison privée | L’utilisation d’Azure Private Link avec vos ressources Azure Virtual Desktop peut améliorer la sécurité et protéger vos données. En savoir plus sur les liaisons privées : https://aka.ms/avdprivatelink. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Virtual Desktop doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public pour votre ressource d’espace de travail Azure Virtual Desktop empêche l’accès du flux sur l’Internet public. Autoriser uniquement l’accès réseau privé améliore la sécurité et protège vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les ressources du pool d’hôtes Azure Virtual Desktop pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résolution des ressources liées à Azure Virtual Desktop. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des pools d’hôtes Azure Virtual Desktop pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour les hôtes de session et les utilisateurs finaux sur votre ressource de pool d’hôtes Azure Virtual Desktop afin qu’elle ne soit pas accessible via l’Internet public. Cela améliore la sécurité et sécurise vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | Modifier, Désactivé | 1.0.0 |
| Configurer des pools d’hôtes Azure Virtual Desktop pour désactiver l’accès uniquement pour les hôtes de session | Désactivez l’accès réseau public pour vos hôtes de session de pool d’hôtes Azure Virtual Desktop, mais autorisez l’accès public pour les utilisateurs finaux. Cela permet aux utilisateurs d’accéder toujours au service AVD tout en veillant à ce que l’hôte de session soit accessible uniquement via des itinéraires privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | Modifier, Désactivé | 1.0.0 |
| Configurer des pools d’hôtes Azure Virtual Desktop avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources Azure Virtual Desktop, vous pouvez améliorer la sécurité et protéger vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les ressources d’espace de travail Azure Virtual Desktop pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résolution des ressources liées à Azure Virtual Desktop. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des espaces de travail Azure Virtual Desktop pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource d’espace de travail Azure Virtual Desktop afin que le flux ne soit pas accessible via l’Internet public. Cela améliore la sécurité et sécurise vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | Modifier, Désactivé | 1.0.0 |
| Configurer des espaces de travail Azure Virtual Desktop avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources Azure Virtual Desktop, vous pouvez améliorer la sécurité et protéger vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. | DeployIfNotExists, Désactivé | 1.0.0 |
DevCenter
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Microsoft Dev Box Pools ne doit pas utiliser Microsoft Hosted Networks. | Interdit l’utilisation de Microsoft Hosted Networks lors de la création de ressources de pool. | Audit, Refuser, Désactivé | 1.0.0-preview |
ElasticSan
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Elastic SAN doit désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre instance Elastic SAN afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. | Audit, Refuser, Désactivé | 1.0.0 |
| Le groupe de volumes ElasticSan doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre groupe de volume. Par défaut, les données client sont chiffrées avec des clés gérées par la plateforme, mais des clés gérées par le client sont généralement nécessaires pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent aux données d’être chiffrées avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle total et une responsabilité, notamment la rotation et la gestion. | Audit, Désactivé | 1.0.0 |
| Le groupe de volumes Elastic SAN doit utiliser des points de terminaison privés | Les points de terminaison privés permettent à l’administrateur de connecter des réseaux virtuels à des services Azure sans IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés au groupe de volumes, l’administrateur peut réduire les risques de fuite de données. | Audit, Désactivé | 1.0.0 |
Event Grid
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les domaines Azure Event Grid doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour les domaines Azure Event Grid | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les domaines Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. | Audit, Refuser, Désactivé | 1.0.0 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Le MQTT broker de l’espace de noms Azure Event Grid doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre espace de noms Event Grid plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. | Audit, Désactivé | 1.0.0 |
| Le répartiteur de rubriques de l’espace de noms Azure Event Grid doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre espace de noms Event Grid plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Azure Event Grid doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour les espaces de noms partenaires Azure Event Grid | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms partenaires Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. | Audit, Refuser, Désactivé | 1.0.0 |
| Les rubriques Azure Event Grid doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour les rubriques Azure Event Grid | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les rubrique Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. | Audit, Refuser, Désactivé | 1.0.0 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Configurer les domaines Azure Event Grid pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos domaines Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. | Modifier, Désactivé | 1.0.0 |
| Configurer le MQTT broker de l’espace de noms Azure Event Grid avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des espaces de noms Azure Event Grid avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les espaces de noms partenaires Azure Event Grid pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos espaces de noms partenaires Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. | Modifier, Désactivé | 1.0.0 |
| Configurer les rubriques Azure Event Grid pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos rubrique Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. | Modifier, Désactivé | 1.0.0 |
| Déployer : configurer des domaines Azure Event Grid pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Désactivé | 1.1.0 |
| Déployer : configurer des domaines Azure Event Grid avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer : configurer des rubriques Azure Event Grid pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Désactivé | 1.1.0 |
| Déployer : configurer des rubriques Azure Event Grid avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Modifier - Configurer des domaines Azure Event Grid pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour la ressource Azure Event Grid afin qu’elle ne soit pas accessible via l’Internet public. Cela vous aidera à la protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Modifier, Désactivé | 1.0.0 |
| Modifier - Configurer des rubriques Azure Event Grid pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour la ressource Azure Event Grid afin qu’elle ne soit pas accessible via l’Internet public. Cela vous aidera à la protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Modifier, Désactivé | 1.0.0 |
Event Hub
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Toutes les règles d’autorisation, sauf RootManageSharedAccessKey, doivent être supprimées de l’espace de noms Event Hub | Les clients Event Hub ne doivent pas utiliser une stratégie d'accès au niveau de l'espace de noms qui donne accès à l'ensemble des files d'attente et rubriques d'un espace de noms. Pour respecter le modèle de sécurité basé sur le privilège minimum, vous devez créer des stratégies d’accès au niveau de l’entité pour les files d’attente et les rubriques afin de limiter l’accès à l’entité spécifique | Audit, Refuser, Désactivé | 1.0.1 |
| Les règles d’autorisation sur l’instance Event Hub doivent être définies | Auditer l’existence de règles d’autorisation sur les entités Event Hub pour accorder un accès à privilèges minimum | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Azure Event Hub doivent avoir des méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms Azure Event Hub imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-eh. | Audit, Refuser, Désactivé | 1.0.1 |
| Configurer des espaces de noms Azure Event Hub pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos espaces de noms Azure Event Hub imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-eh. | Modifier, Désactivé | 1.0.1 |
| Configurer des espaces de noms Event Hub pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espace de noms Event Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des espaces de noms Event Hub avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de noms Event Hub, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent désactiver l’accès au réseau public | L’accès au réseau public doit être désactivé pour Azure Event Hub. La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Plus d’informations sur : https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Refuser, Désactivé | 1.0.0 |
| Le chiffrement double doit être activé pour les espaces de noms du hub d’événements | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement | Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Relais Fluid
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Relais Fluid doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs Fluid Relay. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des CMK sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent aux données d’être chiffrées avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle total et une responsabilité, notamment la rotation et la gestion. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, Désactivé | 1.0.0 |
Général
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Emplacements autorisés | Cette stratégie vous permet de restreindre les emplacements que votre organisation peut spécifier lors du déploiement de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. Exclut les groupes de ressources, Microsoft.azureactivedirectory/b2cdirectories et les ressources qui utilisent la région « globale ». | deny | 1.0.0 |
| Emplacements autorisés pour les groupes de ressources | Cette stratégie vous permet de restreindre les emplacements où votre organisation peut créer des groupes de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. | deny | 1.0.0 |
| Types de ressources autorisés | Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut déployer. Seuls les types de ressources prenant en charge « tags » et « location » sont affectés par cette stratégie. Pour restreindre toutes les ressources, dupliquez cette stratégie et affectez à « mode » la valeur « All ». | deny | 1.0.0 |
| Vérifier que l’emplacement de la ressource correspond à l’emplacement du groupe de ressources | Vérifie que l’emplacement de la ressource correspond à l’emplacement de son groupe de ressources | audit | 2.0.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Configurer des abonnements pour configurer des fonctionnalités d’évaluation | Cette stratégie évalue les fonctionnalités d’évaluation de l’abonnement existant. Les abonnements peuvent être corrigés pour s’inscrire à une nouvelle fonctionnalité d’évaluation. Les nouveaux abonnements ne seront pas automatiquement inscrits. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.1 |
| Ne pas autoriser la suppression des types de ressource | Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut protéger d’une suppression accidentelle en bloquant les appels de suppression à l’aide d’un effet d’action de refus. | DenyAction, Désactivé | 1.0.1 |
| Ne pas autoriser les ressources M365 | Bloquer la création de ressources M365. | Audit, Refuser, Désactivé | 1.0.0 |
| Ne pas autoriser les ressources MCPP | Bloquer la création de ressources MCPP. | Audit, Refuser, Désactivé | 1.0.0 |
| Exclure les ressources des coûts d’utilisation | Cette stratégie vous permet d’exclure des ressources de coûts d’utilisation. Les coûts d’utilisation incluent des éléments tels que le stockage mesuré et les ressources Azure qui sont facturées en fonction de l’utilisation. | Audit, Refuser, Désactivé | 1.0.0 |
| Types de ressources non autorisés | Limitez les types de ressources qui peuvent être déployés dans votre environnement. La limitation des types de ressources peut réduire la complexité et la surface d’attaque de votre environnement, tout en aidant à gérer les coûts. Les résultats de conformité s’affichent uniquement pour les ressources non conformes. | Audit, Refuser, Désactivé | 2.0.0 |
Guest Configuration
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Ajouter une identité managée affectée par l’utilisateur pour activer les affectations Guest Configuration sur les machines virtuelles | Cette stratégie ajoute une identité managée affectée par l’utilisateur aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration. Une identité managée affectée par l’utilisateur est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Configurer Windows Server pour désactiver les utilisateurs locaux. | Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur Windows Server. Cela garantit que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | DeployIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : les mises à jour de sécurité étendues doivent être installées sur les machines Arc Windows Server 2012. | Les machines Arc Windows Server 2012 doivent avoir installé toutes les mises à jour de sécurité étendues publiées par Microsoft. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, consultez https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure pour les hôtes Docker | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La machine n'est pas configurée correctement pour l'une des recommandations de la base de référence de sécurité Azure pour les hôtes Docker. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : Les machines Linux doivent respecter l’exigence de conformité STIG pour le calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes suggestions de l’exigence de conformité STIG pour le calcul Azure. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : Les machines Linux avec OMI installé doivent avoir la version 1.6.8-1 ou ultérieure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. En raison d’un correctif de sécurité inclus dans la version 1.6.8-1 du package OMI pour Linux, toutes les machines doivent être mises à jour vers la dernière version. Mettez à niveau les applications/packages qui utilisent OMI pour résoudre le problème. Pour plus d’informations, consultez https://aka.ms/omiguidance. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la page https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : les machines de calcul Nexus doivent respecter la base de référence de sécurité | Utilise l’agent Azure Policy Guest Configuration pour l’audit. Cette stratégie garantit que les machines adhèrent à la base de référence de sécurité de calcul Nexus, englobant diverses recommandations conçues pour renforcer les machines contre une plage de vulnérabilités et de configurations non sécurisées (Linux uniquement). | AuditIfNotExists, Désactivé | 1.1.0-preview |
| [Préversion] : Les machines Windows doivent respecter les exigences de conformité STIG pour le calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines sont non conformes si elles ne sont pas configurées correctement par rapport à l’une des recommandations des exigences de conformité STIG pour Azure Compute. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost. | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires et les caches de données ne sont pas chiffrés, de même que les données lors de leur transmission entre des ressources de calcul et de stockage. Utilisez Azure Disk Encryption ou EncryptionAtHost pour chiffrer toutes ces données. Consultez la page https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.1.0-preview |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui n’ont pas les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre ne sont pas installés. | AuditIfNotExists, Désactivé | 4.2.0 |
| Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui ont les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre sont installés. | AuditIfNotExists, Désactivé | 4.2.0 |
| Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer la connectivité réseau des machines Windows | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’état d’une connexion réseau à un port IP et TCP ne correspond pas au paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-DSCConfigurationStatus retourne que la configuration DSC pour la machine n’est pas conforme. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution » | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le résultat de la commande Windows PowerShell Get-Service n’inclut pas le nom du service dont l’état correspond à celui spécifié par le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le logiciel de console série n’est pas installé sur la machine ou si le numéro de port EMS ou la vitesse en bauds ne sont pas configurés avec les mêmes valeurs que les paramètres de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 2.1.0 |
| Vérifier que les machines Windows ne sont pas jointes au domaine spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété Domain dans la classe WMI win32_computersystem ne correspond pas à la valeur du paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété StandardName dans la classe WMI Win32_TimeZone ne correspond pas au fuseau horaire sélectionné pour le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-ExecutionPolicy retourne une valeur différente de celle sélectionnée dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si un module n’est pas disponible à un emplacement spécifié par la variable d’environnement PSModulePath. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 2.1.0 |
| Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Windows qui n’ont pas les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est introuvable dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui n’ont pas redémarré dans le nombre spécifié de jours | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la propriété WMI LastBootUpTime dans la classe Win32_Operatingsystem est en dehors de la plage de jours spécifiée par le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ont les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est présent dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Auditer les machines virtuelles Windows avec un redémarrage en attente | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique. | auditIfNotExists | 2.0.0 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| Configurez le serveur Linux pour désactiver les utilisateurs locaux. | Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur un serveur Linux. Cela garantit que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | DeployIfNotExists, Désactivé | préversion-1.3.0 |
| Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des machines Windows | Crée une affectation Guest Configuration pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur la machine Windows. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer le fuseau horaire sur les machines Windows. | Cette stratégie crée une attribution Guest Configuration pour définir le fuseau horaire spécifié sur des machines virtuelles Windows. | deployIfNotExists | 2.1.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| L’agent Log Analytics doit être installé sur les machines Linux sur Azure Arc | Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur le serveur Linux avec Azure Arc. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.2.0 |
| Les machines Linux doivent disposer uniquement de comptes locaux autorisés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 2.2.0 |
| Les méthodes d’authentification locales doivent être désactivées sur les ordinateurs Linux | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Linux n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| Les méthodes d’authentification locales doivent être désactivées sur Serveurs Windows | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Windows n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| Les points de terminaison privés pour les affectations de Guest Configuration doivent être activés | Les connexions de points de terminaison privés appliquent une communication sécurisée en activant la connectivité privée à Guest Configuration pour les machines virtuelles. Les machines virtuelles seront non conformes à moins qu’elles comportent l’étiquette « EnablePrivateNetworkGC ». Cette étiquette applique une communication sécurisée par le biais d’une connectivité privée à Guest Configuration pour les machines virtuelles. La connectivité privée limite l’accès au trafic provenant de réseaux connus et empêche l’accès à partir de toutes les autres adresses IP, notamment dans Azure. | Audit, Refuser, Désactivé | 1.1.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
| Les machines Windows doivent configurer Windows Defender pour mettre à jour les signatures de protection dans un délai d’un jour | Pour fournir une protection adéquate contre les nouveaux programmes malveillants, les signatures de protection Windows Defender doivent être mises à jour régulièrement pour tenir compte des nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines Windows doivent activer la protection en temps réel Windows Defender | Les machines Windows doivent activer la protection en temps réel dans Windows Defender pour fournir une protection adéquate contre les nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur les machines Windows sur Azure Arc | Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur un serveur Windows avec Azure Arc. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Panneau de configuration » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Panneau de configuration » pour la personnalisation de l’entrée et la prévention de l’activation des écrans de verrouillage. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - MSS (hérité) » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - MSS (hérité) » pour l’ouverture de session automatique, l’économiseur d’écran, le comportement réseau, la DLL sécurisée et le journal des événements. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Réseau » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Réseau » pour les ouvertures de session d’invité, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Système » pour les paramètres qui contrôlent l’expérience administrative et l’assistance à distance. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l’utilisation par le compte local de mots de passe vides et pour l’état du compte Invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer les sous-catégories de stratégie d’audit et pour l’arrêt en cas d’incapacité à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Appareils » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Appareils » pour la désancrage sans ouverture de session, l’installation des pilotes d’impression et le formatage/éjection de médias. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Ouverture de session interactive » pour afficher le nom du dernier utilisateur et exiger Ctrl-Alt-Suppr. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences pour « Options de sécurité - Client réseau Microsoft » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour le client/serveur réseau Microsoft et SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Arrêt » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Arrêt » pour autoriser l’arrêt sans ouverture de session et l’effacement du fichier d’échange de mémoire virtuelle. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Objets système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Objets système » pour le non-respect de la casse pour les sous-systèmes non-Windows et les autorisations des objets système internes. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Paramètres système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Paramètres système » pour les règles de certificat sur les exécutables pour SRP et les sous-systèmes facultatifs. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d’utilisateur » pour le mode pour les administrateurs, le comportement d’invite d’élévation et la virtualisation des échecs d’écriture dans les fichiers et les registres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l’historique, l’âge, la longueur et la complexité des mots de passe, et leur stockage à l’aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Connexion de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Connexion de compte » pour l’audit de la validation des informations d’identification et d’autres événements d’ouverture de session de compte. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Gestion de compte » pour l’audit de la gestion des applications, de la sécurité et des groupes d’utilisateurs, et d’autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Ouverture et fermeture de session » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Ouverture et fermeture de session » pour l’audit d’IPSec, de la stratégie réseau, des revendications, du verrouillage de compte, de l’appartenance au groupe et des événements d’ouverture/de fermeture de session. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Accès aux objets » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Accès aux objets » pour l’audit des fichiers, du Registre, de SAM, du stockage, du filtrage, du noyau et d’autres types de système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Changement de stratégie » pour l’audit des modifications apportées aux stratégies d’audit du système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Utilisation de privilège » pour l’audit de l’utilisation des privilèges non sensibles et autres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Système » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Système » pour l’audit du pilote IPsec, de l’intégrité du système, de l’extension système, du changement d’état et d’autres événements système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution de droits de l’utilisateur » pour autoriser l’ouverture de session localement, RDP, l’accès à partir du réseau et plusieurs autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Composants Windows » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Composants Windows » pour l’authentification de base, le trafic non chiffré, les comptes Microsoft, la télémétrie, Cortana et d’autres comportements de Windows. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » | Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Propriétés de pare-feu Windows » pour l’état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent disposer uniquement de comptes locaux autorisés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent planifier Windows Defender pour effectuer une analyse planifiée tous les jours | Pour garantir une détection rapide des programmes malveillants et réduire leur impact sur votre système, nous vous recommandons de planifier une analyse quotidienne sur les machines Windows avec Windows Defender. Veuillez vérifier que Windows Defender est pris en charge, préinstallé sur l’appareil et que les éléments prérequis par Guest Configuration sont déployés. Le non-respect de ces exigences peut entraîner des résultats d’évaluation imprécis. Vous pouvez obtenir plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.0 |
| Les machines Windows doivent utiliser le serveur NTP par défaut | Configurez « time.windows.com » comme serveur NTP par défaut pour toutes les machines Windows pour vous assurer que les journaux d’activité sur tous les systèmes ont des horloges système synchronisées. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0 |
HDInsight
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les clusters Azure HDInsight doivent être injectés dans un réseau virtuel | L’injection de clusters Azure HDInsight dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau de HDInsight, et vous permet de contrôler la configuration de la sécurité de votre réseau. | Audit, Désactivé, Refus | 1.0.0 |
| Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos | Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight | Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure HDInsight devrait utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/hdi.pl. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure HDInsight clusters pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour les clusters HDInsight. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/hdi.pl. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Azure HDInsight avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/hdi.pl. | DeployIfNotExists, Désactivé | 1.0.0 |
Health Bot
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les instances Azure Health Bot doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos des données de vos healthbots. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, voir https://docs.microsoft.com/azure/health-bot/cmk | Audit, Désactivé | 1.0.0 |
Espace de travail Services de données de santé
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’espace de travail Services de données de santé Azure doit utiliser une liaison privée | L’espace de travail Services de données de santé doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/healthcareapisprivatelink. | Audit, Désactivé | 1.0.0 |
API Healthcare
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| CORS ne doit pas autoriser tous les domaines à accéder à votre service FHIR | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre service FHIR. Pour protéger votre service FHIR, supprimez l’accès pour tous les domaines et définissez explicitement les domaines autorisés à se connecter. | audit, Audit, désactivé, Désactivé | 1.1.0 |
| Service DICOM doit utiliser une clé gérée par le client pour chiffrer des données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans les Services DICOM de Services de données de santé Azure lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. | Audit, Désactivé | 1.0.0 |
| Fast Healthcare Interoperability Resources (FHIR) doit utiliser une clé gérée par le client pour chiffrer des données au repos | Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans le service FHIR de Services de données de santé Azure lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. | Audit, Désactivé | 1.0.0 |
Internet des objets
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Azure IoT Hub doit utiliser une clé gérée par le client pour chiffrer les données au repos | Le chiffrement des données au repos dans IoT Hub avec une clé gérée par le client ajoute une deuxième couche de chiffrement sur les clés gérées par défaut, et permet au client de contrôler les clés, les stratégies de rotation personnalisées et l’accès aux données avec le contrôle d’accès par clé. Les clés gérées par le client doivent être configurées lors de la création de l’instance IoT Hub. Pour plus d’informations sur la configuration des clés gérées par le client, consultez https://aka.ms/iotcmk. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les comptes Azure Device Update doivent utiliser une clé gérée par le client pour chiffrer les données au repos | Le chiffrement des données au repos dans Azure Device Update avec une clé gérée par le client ajoute une deuxième couche de chiffrement sur les clés gérées par le service par défaut, et permet au client de contrôler les clés, les stratégies de rotation personnalisées et l’accès aux données avec le contrôle d’accès avec des clés. En savoir plus sur :https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Device Update pour IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des comptes Azure Device Update pour IoT Hub, les risques de fuite de données sont réduits. | AuditIfNotExists, Désactivé | 1.0.0 |
| Dans Azure IoT Hub, les méthodes d’authentification locale doivent être désactivées pour les API de service | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’Azure IoT Hub exigera exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les comptes Azure Device Update pour IoT Hub pour désactiver l’accès réseau public | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Device IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur Device Update pour les ressources IoT Hub. | Modifier, Désactivé | 1.0.0 |
| Configurer les comptes Azure Device Update pour IoT Hub afin d’utiliser des zones DNS privées | Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour Device Update pour des points de terminaison IoT Hub privés. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les comptes Azure Device Update pour IoT Hub avec un point de terminaison privé | Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance Device Update pour IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre cette ressource sans que le trafic soit envoyé au point de terminaison public de Device Update pour IoT Hub. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer Azure IoT Hub pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locale afin que votre instance Azure IoT Hub exige exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. | Modifier, Désactivé | 1.0.0 |
| Configurer des instances de provisionnement d’appareils IoT Hub pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour être résolue en une instance de service de provisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des instances de service d’approvisionnement d’appareils IoT Hub pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre instance de provisionnement d’appareils IoT Hub afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. | Modifier, Désactivé | 1.0.0 |
| Configurer des instances de service de provisionnement d’appareils IoT Hub avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés au service d’approvisionnement d’appareils IoT Hub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déploiement : configurer Azure IoT Hub pour utiliser des zones DNS privées | Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour des points de terminaison IoT Hub privés. | deployIfNotExists, DeployIfNotExists, désactivé, Désactivé | 1.1.0 |
| Déploiement : Configurer Azure IoT Hub avec des points de terminaison privés | Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre IoT Hub sans que le trafic soit envoyé au point de terminaison public d’IoT Hub. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer – Configurer IoT Central pour utiliser des zones DNS privées | Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour des points de terminaison IoT Hub Central. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer – Configurer IoT Central avec des points de terminaison privés | Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Central afin de permettre aux services de votre réseau virtuel d’atteindre IoT Central sans que le trafic soit envoyé au point de terminaison public d’IoT Central. | DeployIfNotExists, Désactivé | 1.0.0 |
| IoT Central doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre application IoT Central au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotcentral-network-security-using-pe. | Audit, Refuser, Désactivé | 1.0.0 |
| Les instances du service d’approvisionnement d’appareils IoT Hub doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que l’instance de service de provisionnement d’appareils IoT Hub n’est pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des instances d’approvisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Modifier - Configurer Azure IoT Hub pour désactiver l’accès au réseau public | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. | Modifier, Désactivé | 1.0.0 |
| Modifier – Configurer IoT Central pour désactiver l'accès réseau public | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données IoT Central n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. | Modifier, Désactivé | 1.0.0 |
| Le point de terminaison privé doit être activé pour IoT Hub | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à IoT Hub. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | Audit, Désactivé | 1.0.0 |
| L’accès au réseau public pour Azure Device Update pour les comptes IoT Hub doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en veillant à ce que vos comptes Azure Device Update pour IoT Hub soient accessibles uniquement à partir d’un point de terminaison privé. | Audit, Refuser, Désactivé | 1.0.0 |
| L’accès au réseau public sur Azure IoT Hub doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. | Audit, Refuser, Désactivé | 1.0.0 |
| L'accès réseau public doit être désactivé pour IoT Central | Pour améliorer la sécurité d’IoT Central, vérifiez qu’il n’est pas exposé à l’Internet public et qu’il est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/iotcentral-restrict-public-access. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 1.0.0 |
| Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
Key Vault
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les clés HSM managé Azure Key Vault doivent avoir une date d’expiration | Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.1-preview |
| [Préversion] : Les clés HSM managé Azure Key Vault doivent avoir plus de jours que le nombre spécifié de jours avant l’expiration | Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1-preview |
| [Préversion] : Les clés HSM managé Azure Key Vault utilisant le chiffrement à courbe elliptique doivent avoir les noms de courbe spécifiés | Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1-preview |
| [Préversion] : Les clés HSM managé Azure Key Vault utilisant le chiffrement RSA doivent avoir une taille de clé minimale spécifiée | Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. | Audit, Refuser, Désactivé | 1.0.1-preview |
| [Préversion] : Les HSM gérés par Azure Key Vault doivent désactiver l’accès réseau public | Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les HSM gérés par Azure Key Vault doivent utiliser une liaison privée | La liaison privée permet de connecter un HSM managé par le Coffre de clés Azure à vos ressources Azure sans envoyer de trafic sur l’Internet public. Un lien privé assure une protection en profondeur contre l’exfiltration des données. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : Les certificats doivent être émis par l’une des autorités de certification non intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification personnalisées ou internes qui peuvent émettre des certificats dans votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer un module de sécurité matériel (HSM) managé par Azure Key Vault pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modifier, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer un HSM géré par Azure Key Vault avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un HSM managé par le Coffre de clés Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault | La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Key Vault doit désactiver l’accès réseau public | Désactivez l’accès réseau public pour que votre coffre de clés ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. | Audit, Refuser, Désactivé | 1.1.0 |
| Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
| Azure Key Vault doit utiliser le modèle d’autorisation RBAC | Activez le modèle d’autorisation RBAC sur les coffres de clés. Plus d’informations sur : https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Refuser, Désactivé | 1.0.1 |
| Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Les certificats doivent être émis par l’autorité de certification intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification intégrées à Azure qui peuvent émettre des certificats dans votre coffre de clés, comme DigiCert ou GlobalSign. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats doivent être émis par l’autorité de certification non intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités d’une certification personnalisée ou interne qui peuvent émettre des certificats dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.1.1 |
| Les certificats doivent avoir les déclencheurs d’action de durée de vie spécifiés | Gérez les exigences en matière de conformité de votre organisation en spécifiant si une action de durée de vie de certificat est déclenchée à un pourcentage spécifique de sa durée de vie ou un certain nombre de jours avant son expiration. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Les certificats ne doivent pas expirer pendant le nombre de jours spécifié | Gérez les certificats qui arrivent à expiration dans un nombre de jours spécifié pour que votre organisation ait suffisamment le temps de les remplacer. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.1.1 |
| Les certificats doivent utiliser des types de clés autorisés | Gérez les exigences en matière de conformité de votre organisation en restreignant les types de clés autorisés pour les certificats. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats utilisant le chiffrement à courbe elliptique doivent avoir des noms de courbe autorisés | Gérer les noms de courbe elliptique autorisés pour les certificats ECC stockés dans le coffre de clés. D’autres informations sont disponibles ici : https://aka.ms/akvpolicy. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La taille de clé minimale doit être spécifiée pour les certificats utilisant le chiffrement RSA | Gérez les exigences en matière de conformité de votre organisation en spécifiant une taille de clé minimale pour les certificats RSA stockés dans votre coffre de clés. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Configurer Azure Key Vault pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en coffre de clés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les coffres de clés Azure avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les coffres de clés pour activer le pare-feu | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez ensuite configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Modifier, Désactivé | 1.1.1 |
| Déployer - Configurer les paramètres de diagnostic d’Azure Key Vault dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’Azure Key Vault pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.1 |
| Déployer - Configurer les paramètres de diagnostic sur un hub d’événements à activer sur un HSM managé par Azure Key Vault | Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un hub d’événements régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Key Vault sur Event Hub | Déploie les paramètres de diagnostic de Key Vault pour les envoyer en streaming dans un hub d’événements régional sur tout coffre de clés nouveau ou mis à jour pour lequel les paramètres de diagnostic sont manquants. | DeployIfNotExists, Désactivé | 3.0.1 |
| Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| Les clés doivent être adossées à un module de sécurité matériel ou HSM | Un HSM est un module de sécurité matériel qui stocke des clés. Un HSM fournit une couche physique de protection des clés de chiffrement. La clé de chiffrement ne peut pas quitter un HSM physique, ce qui offre un niveau de sécurité supérieur à celui d’une clé logicielle. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés doivent être du type de chiffrement spécifié, RSA ou EC | Certaines applications requièrent l’utilisation de clés utilisant un type de chiffrement spécifique. Appliquez un type de clé de chiffrement particulier, RSA ou EC, dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés doivent avoir une stratégie de rotation garantissant que leur rotation est planifiée pour le nombre de jours spécifié après leur création. | Gérez les exigences de conformité de votre organisation en spécifiant le nombre maximal de jours qui sépare la création de la clé de son pivotement. | Audit, Désactivé | 1.0.0 |
| Les clés doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration | Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1 |
| La période de validité maximale doit être spécifiée pour les clés | Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels une clé peut être valide au sein de votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés ne doivent pas être actives pendant une durée supérieure au nombre de jours spécifié | Spécifiez le nombre de jours pendant lesquels une clé doit être active. Les clés utilisées pendant une période prolongée augmentent la probabilité qu’une personne malveillante puisse les compromettre. En guise de bonne pratique de sécurité, assurez-vous que vos clés n’ont pas été actives pendant plus de deux ans. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés utilisant un chiffrement à courbe elliptique doivent avoir les noms de courbes spécifiés | Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés utilisant le chiffrement RSA doivent avoir une taille minimale spécifiée | Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. | Audit, Refuser, Désactivé | 1.0.1 |
| Les journaux de ressource dans les HSM managés par Azure Key Vault doivent être activés | Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les secrets doivent avoir un type de contenu défini | Une étiquette de type de contenu permet d’identifier si une clé secrète est un mot de passe, une chaîne de connexion, etc. Différents secrets ont différentes exigences de rotation. L’étiquette de type de contenu doit être définie sur secrets. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration | Si un secret a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation du secret peut occasionner une interruption. Les secrets doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1 |
| La période de validité maximale doit être spécifiée pour les secrets | Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels un secret peut être valide au sein de votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets ne doivent pas être actifs pendant une période plus longue que le nombre spécifié de jours | Si vos secrets ont été créés avec une date d’activation définie à l’avenir, vous devez vous assurer que vos secrets n’ont pas été actifs plus longtemps que la durée spécifiée. | Audit, Refuser, Désactivé | 1.0.1 |
Kubernetes
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Aperçu] : [Intégrité de l'image] Les clusters Kubernetes ne doivent utiliser que des images signées par notation | Utilisez des images signées par notation pour garantir que les images proviennent de sources fiables et ne seront pas modifiées de manière malveillante. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Aperçu] : impossible de modifier des nœuds individuels | Impossible de modifier des nœuds individuels. Les utilisateurs ne doivent pas modifier des nœuds individuels. Modifiez les pools de nœuds. La modification de nœuds individuels peut entraîner des paramètres incohérents, des problèmes opérationnels et des risques de sécurité éventuels. | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : Configurer des clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : déployer l’intégrité des images sur Azure Kubernetes Service | Déployez les clusters Azure Kubernetes d’intégrité de l’image et de modules complémentaires de stratégie. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity | DeployIfNotExists, Désactivé | 1.0.5-preview |
| [Préversion] : les conteneurs de cluster Kubernetes doivent tirer des images uniquement quand des secrets de tirage d’image sont présents | Restreindre les tirages d’image des conteneurs pour appliquer la présence d’ImagePullSecrets, afin de garantir un accès sécurisé et autorisé aux images au sein d’un cluster Kubernetes | Audit, Refuser, Désactivé | 1.1.0-preview |
| [Préversion] : les services de cluster Kubernetes doivent utiliser des sélecteurs uniques | Vérifiez que les services d’un espace de noms ont des sélecteurs uniques. Un sélecteur de service unique veille à ce que chaque service au sein d’un espace de noms est uniquement identifiable selon des critères spécifiques. Cette stratégie synchronise des ressources d’entrée dans un Open Policy Agent (OPA) via Gatekeeper. Avant l’application, vérifiez que la capacité de mémoire des pods Gatekeeper n’est pas dépassée. Les paramètres s’appliquent à des espaces de noms spécifiques, mais toutes les ressources de ce type sont synchronisées dans l’ensemble des espaces de noms. Est actuellement en préversion pour Kubernetes Service (AKS). | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : le cluster Kubernetes doit implémenter des budgets d’interruption de pod exacts | Empêche les budgets d’interruption de pods défaillants et veille donc à un nombre minimal de pods opérationnels. Reportez-vous à la documentation officielle de Kubernetes pour obtenir des détails. S’appuie sur la réplication des données Gatekeeper et synchronise toutes les ressources d’entrée qui s’y étendent dans un OPA. Avant d’appliquer cette stratégie, veillez à ce que les ressources d’entrée synchronisées ne surchargent pas la capacité de votre mémoire. Bien que les paramètres évaluent des espaces de noms spécifiques, toutes les ressources de ce genre dans les espaces de noms se synchronisent. Remarque : est actuellement en préversion pour Kubernetes Service (AKS). | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : Les clusters Kubernetes doivent restreindre la création d’un type de ressource donné | Le type de ressource Kubernetes donné ne doit pas être déployé dans certains espaces de noms. | Audit, Refuser, Désactivé | 2.2.0-preview |
| [Aperçu] : doit avoir un ensemble de règles anti-affinité | Cette stratégie veille à ce que les pods soient planifiés sur divers nœuds au sein du cluster. L’application de règles d’anti-affinité permet de maintenir la disponibilité, même en cas d’indisponibilité de l’un de ces nœuds. Les pods continuent de s’exécuter sur d’autres nœuds, ce qui améliore ainsi la résilience. | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Aperçu] : Pas d'étiquettes spécifiques à AKS | Empêche les clients d’appliquer des étiquettes spécifiques à AKS. AKS utilise des étiquettes précédées de kubernetes.azure.com pour indiquer les composants appartenant à AKS. Le client ne doit pas utiliser ces étiquettes. |
Audit, Refuser, Désactivé | 1.1.1-preview |
| [Aperçu] : rejets de pool de systèmes réservés | Limite l’altération CriticalAddonsOnly au pool système uniquement. AKS utilise l’altération CriticalAddonsOnly pour garder les pods du client hors de portée du pool système. Elle veille à une séparation nette entre les composants d’AKS et les pods des clients et empêche également l’exclusion de ces derniers s’ils n’acceptent pas l’altération CriticalAddonsOnly. | Audit, Refuser, Désactivé | 1.1.1-preview |
| L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc | L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les clusters Kubernetes avec Azure Arc doivent avoir l'extension Azure Policy installée | L’extension Open Service Mesh fournit toutes les fonctionnalités de maillage de service standard pour la sécurité, la gestion du trafic et l’observabilité des services d’application. En savoir plus ici ! https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| L’extension Strimzi Kafka doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Kafka Strimzi permet aux opérateurs d’installer Kafka pour créer des pipelines de données en temps réel et des applications de diffusion en continu avec des fonctionnalités de sécurité et d’observabilité. Pour plus d’informations : https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les clusters Azure Kubernetes doivent activer Container Storage Interface (CSI) | CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Azure Kubernetes Service. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Désactivé | 1.0.0 |
| Les clusters Azure Kubernetes doivent activer le Service de gestion de clés (KMS) | Pour la sécurité du cluster Kubernetes, utilisez le service de gestion de clés (KMS) pour chiffrer les données secrètes au repos dans etcd. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/kmsetcdencryption. | Audit, Désactivé | 1.0.0 |
| Les clusters Azure Kubernetes doivent utiliser Azure CNI | Azure CNI est un prérequis pour certaines fonctionnalités de Azure Kubernetes Service, notamment les stratégies réseau Azure, les pools de nœuds Windows et le module complémentaire de nœuds virtuels. Plus d’informations sur : https://aka.ms/aks-azure-cni | Audit, Désactivé | 1.0.1 |
| Les clusters Azure Kubernetes Service doivent désactiver l’appel de commande | La désactivation de l’appel de commande peut améliorer la sécurité en évitant le contournement de l’accès réseau restreint ou du contrôle d’accès en fonction du rôle Kubernetes | Audit, Désactivé | 1.0.1 |
| Les clusters d’Azure Kubernetes Service doivent activer la mise à niveau automatique du cluster | La mise à niveau automatique de clusters AKS vous permet d’être certain que vos clusters seront à jour et incluront les fonctionnalités ou correctifs les plus récents d’AKS et de Kubernetes en amont. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Désactivé | 1.0.0 |
| Les clusters d’Azure Kubernetes Service doivent activer Image Cleaner | Image Cleaner effectue automatiquement l'identification et la suppression des images vulnérables et inutilisées, ce qui atténue le risque d'images obsolètes et réduit le temps nécessaire à leur nettoyage. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/image-cleaner. | Audit, Désactivé | 1.0.0 |
| Les clusters Azure Kubernetes Service doivent activer l’intégration de Microsoft Entra ID | L’intégration de Microsoft Entra ID gérée par AKS peut gérer l’accès aux clusters en configurant le contrôle d’accès en fonction du rôle Kubernetes (RBAC Kubernetes) selon l’identité d’un utilisateur ou l’appartenance à un groupe d’annuaires. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-managed-aad. | Audit, Désactivé | 1.0.2 |
| Les clusters d’Azure Kubernetes Service doivent activer la mise à niveau automatique du système d'exploitation du nœud | La mise à niveau automatique du système d'exploitation du nœud AKS contrôle les mises à jour de sécurité du système d'exploitation au niveau du nœud. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Désactivé | 1.0.0 |
| Azure Kubernetes Service Clusters doivent activer l’identité de charge de travail | L’identité de charge de travail permet d’attribuer une identité unique à chaque pod Kubernetes et de l’associer à des ressources protégées par Azure AD telles qu’Azure Key Vault, ce qui permet un accès sécurisé à ces ressources à partir du pod. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/wi. | Audit, Désactivé | 1.0.0 |
| Le profil Defender doit être activé sur les clusters Azure Kubernetes Service | Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Désactivé | 2.0.1 |
| Les méthodes d’authentification locale doivent être désactivées pour les clusters Azure Kubernetes Service | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les clusters Azure Kubernetes Service nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-disable-local-accounts. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clusters Azure Kubernetes Service doivent utiliser des identités managées | Utilisez des identités managées pour contourner les principaux de service, simplifier la gestion du cluster et éviter la complexité requise pour les principaux de service managés. Plus d’informations sur : https://aka.ms/aks-update-managed-identities | Audit, Désactivé | 1.0.1 |
| Les clusters privés Azure Kubernetes Service doivent être activés | Activez la fonctionnalité de cluster privé pour votre cluster Azure Kubernetes Service pour vous assurer que le trafic réseau entre votre serveur d’API et vos pools de nœuds reste sur le réseau privé uniquement. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
| Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Configurer les clusters Kubernetes avec Azure Arc pour installer l’extension Azure Policy | Déployez l'extension d’Azure Policy pour Azure Arc afin de fournir des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les clusters Azure Kubernetes Service pour activer le profil Defender | Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.Defender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Désactivé | 4.1.0 |
| Configurer l’installation de l’extension Flux sur un cluster Kubernetes | Installer l’extension Flux sur un cluster Kubernetes pour permettre le déploiement de « fluxconfigurations » dans le cluster | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec une configuration Flux v2 à l’aide de la source Bucket et des secrets dans KeyVault | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite une SecretKey Bucket stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et du certificat d’autorité de certification HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un certificat d’autorité de certification HTTPS. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé HTTPS stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets SSH | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git public | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la source Bucket Flux v2 spécifiée à l’aide de secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée avec des secrets HTTPS | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition exige que les secrets d’utilisateur et de clé HTTPS soient stockés dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée sans secret | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée et des secrets SSH | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Azure Kubernetes Service intégrés à Microsoft Entra ID avec l’accès au groupe d’administration nécessaire | Veillez à améliorer la sécurité des clusters en régissant de manière centralisée l’accès administratif aux clusters AKS intégrés à Microsoft Entra ID. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer la mise à niveau automatique du système d'exploitation du nœud sur le cluster Azure Kubernetes | Utilisez la mise à niveau automatique du système d’exploitation du nœud pour contrôler les mises à jour de sécurité du système d’exploitation au niveau du nœud des clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Désactivé | 1.0.1 |
| Déployer - Configurer les paramètres de diagnostic d’Azure Kubernetes Service dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’Azure Kubernetes Service pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics. | DeployIfNotExists, Désactivé | 3.0.0 |
| Déployer l’extension Azure Policy sur les clusters Azure Kubernetes Service | Utilisez l’extension Azure Policy pour gérer et signaler l’état de conformité de vos clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://aka.ms/akspolicydoc. | DeployIfNotExists, Désactivé | 4.1.0 |
| Déployer Image Cleaner sur le Azure Kubernetes Service | Déployez Image Cleaner sur les clusters Azure Kubernetes. Pour plus d’informations, consultez https://aka.ms/aks/image-cleaner | DeployIfNotExists, Désactivé | 1.0.4 |
| Déployer la maintenance planifiée pour planifier et contrôler les mises à niveau de votre cluster Azure Kubernetes Service (AKS) | La maintenance planifiée vous permet de planifier des fenêtres de maintenance hebdomadaire pour effectuer des mises à jour et réduire l’impact sur les charges de travail. Une fois planifiées, les mises à jour se produisent uniquement pendant la fenêtre que vous avez sélectionnée. Plus d’informations sur : https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Désactiver l’appel de commande sur les clusters Azure Kubernetes Service | La désactivation de l’appel de commande peut améliorer la sécurité en rejetant l’accès invoke-command au cluster | DeployIfNotExists, Désactivé | 1.2.0 |
| Vérifier que les conteneurs de cluster ont des sondes de préparation ou d’activité configurées | Cette stratégie impose que tous les pods aient une préparation et/ou des sondes d’activité configurées. Les types de sondes peuvent être de n’importe quel type : tcpSocket, httpGet et exec. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.2.0 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas utiliser les interfaces sysctl interdites | Les conteneurs de clusters Kubernetes ne doivent pas utiliser les interfaces sysctl interdites. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement le ProcMountType autorisé | Les conteneurs de pods ne peuvent utiliser que les ProcMountTypes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.1 |
| Les conteneurs de cluster Kubernetes doivent uniquement utiliser une stratégie de tirage (pull) autorisée | Restreindre la stratégie de tirage des conteneurs afin de les contraindre à utiliser uniquement des images autorisées lors des déploiements | Audit, Refuser, Désactivé | 3.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils seccomp autorisés | Les conteneurs de pods ne peuvent utiliser que les profils seccomp autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les volumes FlexVolume de pod de cluster Kubernetes doivent utiliser uniquement des pilotes autorisés | Les volumes FlexVolume de pod ne doivent utiliser que des pilotes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.1 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs et pods de cluster Kubernetes doivent utiliser uniquement des options SELinux autorisées | Les pods et les conteneurs ne doivent utiliser que des options SELinux autorisées dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement les types de volume autorisés | Les pods ne peuvent utiliser que des types de volumes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les pods de clusters Kubernetes doivent utiliser les étiquettes spécifiées | Utilisez les étiquettes spécifiées pour identifier les pods dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées | Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Le cluster Kubernetes ne doit pas utiliser de pods nus | Bloquer l’utilisation des pods nus. Les pods nus ne seront pas replanifiés en cas de défaillance d’un nœud. Les pods doivent être gérés par déploiement, Replicset, Daemonset ou Jobs | Audit, Refuser, Désactivé | 2.1.0 |
| Les conteneurs Windows de cluster Kubernetes ne doivent pas surengager le processeur et la mémoire | Les requêtes de ressources de conteneur Windows doivent être inférieures ou égales à la limite de ressources ou non spécifiées afin d’éviter les sollicitations excessives. Si la mémoire Windows est surprovisionnée, elle traite les pages sur disque, ce qui peut ralentir les performances, au lieu d’arrêter le conteneur avec une mémoire insuffisante | Audit, Refuser, Désactivé | 2.1.0 |
| Les conteneurs Windows de cluster Kubernetes ne doivent pas s’exécuter en tant que ContainerAdministrator | Empêchez l’utilisation de ContainerAdministrator en tant qu’utilisateur pour exécuter les processus de conteneur pour les pods ou conteneurs Windows. Cette recommandation est destinée à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Refuser, Désactivé | 1.1.0 |
| Les conteneurs Windows du cluster Kubernetes ne doivent s’exécuter qu’avec un utilisateur et un groupe d’utilisateurs de domaine approuvés | Contrôlez l’utilisateur que les pods et conteneurs Windows peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité des nœuds Windows destinées à améliorer la sécurité de vos environnements Kubernetes. | Audit, Refuser, Désactivé | 2.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes doivent s’assurer que le rôle Administrateur de cluster est utilisé uniquement si nécessaire | Le rôle « Administrateur de cluster » fournit des pouvoirs étendus sur l’environnement et doit être utilisé uniquement quand et si nécessaire. | Audit, Désactivé | 1.0.0 |
| Les clusters Kubernetes doivent réduire l’utilisation de caractères génériques dans le rôle et le rôle de cluster | L’utilisation de caractères génériques « * » peut être un risque de sécurité, car elle accorde des autorisations étendues qui peuvent ne pas être nécessaires pour un rôle spécifique. Si un rôle a trop d’autorisations, il peut être utilisé de manière abusive par un attaquant ou un utilisateur compromis pour obtenir un accès non autorisé aux ressources du cluster. | Audit, Désactivé | 1.0.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser les autorisations de modification de point de terminaison de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit ne doit pas autoriser les autorisations de modification de point de terminaison en raison de la vulnérabilité CVE-2021-25740. Les autorisations Endpoint et EndpointSlice permettent le transfert entre les espaces de noms, https://github.com/kubernetes/kubernetes/issues/103675. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Désactivé | 3.1.0 |
| Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser de fonctionnalités de sécurité spécifiques | N’utilisez pas des fonctionnalités de sécurité spécifiques dans les clusters Kubernetes pour bloquer les privilèges non accordés sur la ressource Pod. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes doivent utiliser le pilote Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Kubernetes. StorageClass dans l’arborescence doit être déconseillé depuis AKS version 1.21. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Refuser, Désactivé | 2.2.0 |
| Les clusters Kubernetes doivent utiliser des équilibreurs de charge internes | Utilisez un équilibreur de charge interne pour rendre un service Kubernetes accessible uniquement aux applications qui s’exécutent dans le même réseau virtuel que le cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les ressources Kubernetes doivent avoir les annotations requises | Assurez-vous que les annotations requises sont attachées à un type de ressource Kubernetes donné pour améliorer la gestion des ressources de vos ressources Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.1.0 |
| Les journaux de ressources dans Azure Kubernetes Service doivent être activés | Les journaux de ressources d’Azure Kubernetes Service permettent de recréer des traçages d’activité durant l’investigation d’incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire | AuditIfNotExists, Désactivé | 1.0.0 |
| Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
Lab Services
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Lab Services doit activer toutes les options d’arrêt automatique | Cette stratégie facilite la gestion des coûts en appliquant l’activation de toutes les options d’arrêt automatique pour un labo. | Audit, Refuser, Désactivé | 1.1.0 |
| Lab Services ne doit pas autoriser les machines virtuelles modèles pour les labos | Cette stratégie empêche la création et la personnalisation d’un modèle de machines virtuelles pour les labos gérés via Lab Services. | Audit, Refuser, Désactivé | 1.1.0 |
| Lab Services doit exiger un utilisateur non administrateur pour les labos | Cette stratégie nécessite la création de comptes d’utilisateurs non administrateurs pour les labos gérés par le biais de lab-services. | Audit, Refuser, Désactivé | 1.1.0 |
| Lab Services doit restreindre les tailles de référence SKU de machine virtuelle autorisées | Cette stratégie vous permet de restreindre certaines références SKU de machine virtuelle de calcul pour les laboratoires gérés via Lab Services. Cela limitera la taille de certaines machines virtuelles. | Audit, Refuser, Désactivé | 1.1.0 |
Lighthouse
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Autoriser l’intégration des ID de locataires gérants dans Azure Lighthouse | La restriction des délégations Azure Lighthouse à des locataires gérants spécifiques durcit la sécurité en limitant les personnes autorisées à gérer vos ressources Azure. | deny | 1.0.1 |
| Auditer la délégation d’étendues sur un locataire gérant | Auditez la délégation d’étendues sur un locataire gérant via Azure Lighthouse. | Audit, Désactivé | 1.0.0 |
Logic Apps
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client | Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Refuser, Désactivé | 1.0.0 |
| Logic Apps doit être déployé dans un environnement de service d’intégration | Le déploiement de Logic Apps dans un environnement de service d’intégration au sein d’un réseau virtuel déverrouille les fonctionnalités avancées Logic Apps de sécurité et de réseau, et vous permet de mieux contrôler votre configuration réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/integration-service-environment. Le déploiement dans un environnement de service d’intégration permet également de chiffrer les données avec des clés gérées par le client, ce qui améliore la protection des données en vous permettant de gérer vos clés de chiffrement. Cette configuration permet souvent de répondre aux exigences de conformité. | Audit, Refuser, Désactivé | 1.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
Machine Learning
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les déploiements de Registre de modèles Azure Machine Learning sont limités, à l’exception du Registre autorisé | Déployez uniquement des modèles de Registre dans le Registre autorisé et qui ne sont pas limités. | Deny, Disabled | 1.0.0-preview |
| La capacité de calcul Azure Machine Learning doit s’arrêter en cas d’inactivité. | Le fait de planifier un arrêt en cas d’inactivité réduit les coûts en arrêtant les calculs inactifs après une période d’activité prédéfinie. | Audit, Refuser, Désactivé | 1.0.0 |
| Les instances de calcul Azure Machine Learning doivent être recréées pour obtenir les dernières mises à jour logicielles | Vérifiez que les instances de calcul Azure Machine Learning s’exécutent sur le dernier système d’exploitation disponible. La sécurité est renforcée et les vulnérabilités sont réduites si l’exécution se fait avec les derniers correctifs de sécurité. Pour plus d’informations, consultez https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Les capacités de calcul Azure Machine Learning doivent se trouver dans un réseau virtuel | Le réseau virtuel Azure fournit une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités permettant de restreindre davantage l’accès. Quand une capacité de calcul Azure Machine Learning est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications figurant dans le réseau virtuel. | Audit, Désactivé | 1.0.1 |
| Les méthodes d’authentification locale doivent être désactivées pour les capacités de calcul Azure Machine Learning | La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que les capacités de calcul Machine Learning requièrent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. | Audit, Refuser, Désactivé | 2.1.0 |
| Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client | Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.0.3 |
| Les espaces de travail Azure Machine Learning doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public renforce la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l’Internet public. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Refuser, Désactivé | 2.0.1 |
| Les espaces de travail Azure Machine Learning doivent activer V1LegacyMode pour prendre en charge la compatibilité descendante de l’isolement réseau. | Azure ML effectue une transition vers une nouvelle plateforme d’API V2 sur Azure Resource Manager et vous pouvez contrôler la version de la plateforme d’API à l’aide du paramètre V1LegacyMode. L’activation du paramètre V1LegacyMode vous permet de conserver vos espaces de travail dans la même isolation réseau que V1, bien que vous n’utilisiez pas les nouvelles fonctionnalités V2. Nous vous recommandons d’activer le mode hérité V1 uniquement lorsque vous souhaitez conserver les données du plan de contrôle AzureML à l’intérieur de vos réseaux privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/V1LegacyMode. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Machine Learning doivent utiliser une identité managée affectée par l'utilisateur | Gérez l’accès à l’espace de travail Azure ML et aux ressources associées, Azure Container Registry, KeyVault, Stockage et App Insights à l’aide de l’identité managée affectée par l’utilisateur. Par défaut, l’identité managée affectée par le système est utilisée par l’espace de travail Azure ML pour accéder aux ressources associées. L’identité managée affectée par l’utilisateur vous permet de créer l’identité en tant que ressource Azure et de tenir à jour le cycle de vie de cette identité. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les capacités de calcul Azure Machine Learning pour désactiver les méthodes d’authentification locale | Désactivez les méthodes d’authentification d’emplacement de sorte que vos capacités de calcul Machine Learning nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. | Modifier, Désactivé | 2.1.0 |
| Configurer l’espace de travail Azure Machine Learning pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de travail Azure Machine Learning. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les espaces de travail Azure Machine Learning pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour les espaces de travail Azure Machine Learning afin que ceux-ci ne soient pas accessibles via l’Internet public. Cela permet de protéger les espaces de travail contre les risques de fuite de données. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Modifier, Désactivé | 1.0.3 |
| Configurer les espaces de travail Azure Machine Learning avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre espace de travail Azure Machine Learning, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres de diagnostic pour les espaces de travail Azure Machine Learning dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’espaces de travail Azure Machine Learning pour diffuser en continu les journaux de ressource à un espace de travail Azure Machine Learning quand un serveur SQL créé ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressource dans les espaces de travail Azure Machine Learning doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
Application managée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La définition d’application de l’application managée doit utiliser le compte de stockage fourni par le client | Utilisez votre propre compte de stockage pour contrôler les données de définition d’application lorsqu’il s’agit d’une condition de réglementation ou de conformité requise. Vous pouvez choisir de stocker la définition de votre application managée dans un compte de stockage fourni par vos soins lors de la création, de manière à gérer entièrement son emplacement et son accès et répondre ainsi aux conditions de réglementation ou de conformité requises. | audit, audit, refus, refus, désactivé, désactivé | 1.1.0 |
| Déployer des associations pour une application managée | Déploie une ressource d’association qui associe les types de ressources sélectionnés à l’application managée spécifiée. Ce déploiement de stratégie ne prend pas en charge les types de ressources imbriqués. | deployIfNotExists | 1.0.0 |
Grafana managé
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Managed Grafana doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Managed Grafana, vous pouvez réduire les risques de fuite de données. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Managed Grafana doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que l’espace de travail Azure Managed Grafana ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos espaces de travail. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer des tableaux de bord Azure Managed Grafana avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Managed Grafana, vous pouvez réduire les risques de fuite de données. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les espaces de travail Azure Managed Grafana pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour que votre espace de travail Azure Managed Grafana ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. | Modifier, Désactivé | 1.0.0 |
| Configurer les espaces de travail Azure Managed Grafana pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de travail Azure Managed Grafana. | DeployIfNotExists, Désactivé | 1.0.0 |
Identité managée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les informations d’identification fédérées d’identité managée d’Azure Kubernetes doivent provenir de sources approuvées | Cette stratégie limite la fédération avec des clusters Azure Kubernetes aux seuls clusters provenant de locataires approuvés, de régions approuvées et d’une liste d’exceptions spécifique de clusters supplémentaires. | Audit, Désactivé, Refus | 1.0.0-preview |
| [Preview] : Les informations d'identification fédérées d'identité gérées de GitHub doivent provenir de propriétaires de référentiels de confiance | Cette stratégie limite la fédération avec les dépôts GitHub aux seuls propriétaires de référentiels approuvés. | Audit, Désactivé, Refus | 1.0.1-preview |
| [Préversion] : Les informations d’identification fédérées d’identité managée doivent provenir de types d’émetteurs autorisés | Cette stratégie détermine si les identités managées peuvent utiliser des informations d’identification fédérées et les types d’émetteurs courants autorisés, et fournit une liste d’exceptions d’émetteur autorisées. | Audit, Désactivé, Refus | 1.0.0-preview |
| [Préversion] : Attribuer une identité managée affectée par l’utilisateur intégrée à des groupes de machines virtuelles identiques | Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux groupes de machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.6-preview |
| [Préversion] : Attribuer une identité managée affectée par l’utilisateur intégrée à des machines virtuelles | Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.6-preview |
Maps
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| CORS ne doit pas autoriser toutes les ressources à accéder à votre compte de mappage. | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre compte de mappage. Autorisez uniquement les domaines requis à interagir avec votre compte de mappage. | Désactivé, Audit, Refuser | 1.0.0 |
Media Services
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes Azure Media Services doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Media Services ne sont pas exposées sur le réseau Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Media Services doivent utiliser une API qui prend en charge Private Link | Les comptes Media Services doivent être créés avec une API qui prend en charge la liaison privée. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Media Services qui autorisent l’accès à l’API v2 héritée doivent être bloqués | L’API héritée Media Services v2 autorise les requêtes qui ne peuvent pas être managées à l’aide d’Azure Policy. Les ressources Media Services créées à l’aide de l’API 2020-05-01 ou version ultérieure bloquent l’accès à l’API v2 héritée. | Audit, Refuser, Désactivé | 1.0.0 |
| Les stratégies de clé de contenu Azure Media Services doivent utiliser l’authentification par jeton | Les stratégies de clés de contenu définissent les conditions requises pour accéder aux clés de contenu. Une restriction de jeton garantit que les clés de contenu ne sont accessibles qu'aux utilisateurs disposant de jetons valides provenant d'un service d'authentification, par exemple Microsoft Entra ID. | Audit, Refuser, Désactivé | 1.0.1 |
| Les tâches Azure Media Services avec des entrées HTTPS doivent limiter les URI d’entrée aux modèles d’URI autorisés | Restreignez les entrées HTTPS utilisées par les tâches Media Services aux points de terminaison connus. Les entrées des points de terminaison HTTPS peuvent être entièrement désactivées en définissant une liste vide de modèles d’entrée de tâche autorisés. Quand les entrées de tâche spécifient un « baseUri », les modèles sont comparés à cette valeur. Quand « baseUri » n’est pas défini, le modèle est mis en correspondance avec la propriété « files ». | Deny, Disabled | 1.0.1 |
| Azure Media Services doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de vos comptes Media Services. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/mediaservicescmkdocs. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Media Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Media Services pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en compte Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Media Services avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Désactivé | 1.0.0 |
Migrate
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer des ressources Azure Migrate pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en votre projet Azure Migrate. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0 |
Réseau mobile
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer l’accès au diagnostic du plan de contrôle Packet Core pour utiliser un type d’authentification Microsoft Entra ID | Le type d’authentification doit être Microsoft Entra ID pour l’accès au diagnostic de base de paquets sur des API locales | Modifier, Désactivé | 1.0.0 |
| L’accès au diagnostic de base du plan de contrôle de paquets doit uniquement utiliser un type d’authentification Microsoft Entra ID | Le type d’authentification doit être Microsoft Entra ID pour l’accès au diagnostic de base de paquets sur des API locales | Audit, Refuser, Désactivé | 1.0.0 |
| Un groupe de cartes SIM doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de secrets de cartes SIM dans un groupe de cartes SIM. Les clés gérées par le client sont généralement nécessaires pour répondre aux normes de conformité réglementaire et elles permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Refuser, Désactivé | 1.0.0 |
Surveillance
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Configurer les machines Linux avec Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut | Protégez vos machines Linux Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les machines Windows avec Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut | Protégez vos machines Windows Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.1.0-preview |
| [Préversion] : Configurer l’identité managée affectée par le système pour activer les affectations d’Azure Monitor sur les machines virtuelles | Configurez une identité managée affectée par le système pour les machines virtuelles qui sont hébergées dans Azure et prises en charge par Azure Monitor, mais qui n’ont pas d’identité managée affectée par le système. Une identité managée attribuée par le système est un prérequis pour toutes les affectations Azure Monitor ; elle doit être ajoutée aux machines avant d’utiliser une quelconque extension Azure Monitor. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | Modifier, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1-preview |
| [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
| [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Le journal d’activité doit être conservé pendant au moins un an | Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). | AuditIfNotExists, Désactivé | 1.0.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques | Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les composants Application Insights doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics | Améliorez Application Insights en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de ce composant. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les composants Application Insights doivent bloquer l’ingestion non Azure Active Directory. | L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. | Refus, Audit, Désactivation | 1.0.0 |
| Les composants d’Application Insights avec un lien privé activé doivent utiliser les mêmes comptes de stockage pour le profileur et le débogueur. | Pour prendre en charge les stratégies de liaison privée et de clé gérée par le client, créez votre propre compte de stockage pour le profileur et le débogueur. En savoir plus sur https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Refus, Audit, Désactivation | 1.0.0 |
| Auditez le paramètre de diagnostic pour les types de ressources sélectionnés | Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. | AuditIfNotExists | 2.0.1 |
| Les journaux de ressource doivent être activés pour Azure Application Gateway | Activez les journaux de ressources pour Azure Application Gateway (plus WAF) et diffusez en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressource doivent être activés pour Azure Front Door | Activez les journaux de ressources pour Azure Front Door (plus WAF) et diffusez en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressources doivent être activés pour Azure Front Door Standard ou Premium (plus WAF) | Activez les journaux de ressources pour Azure Front Door (plus WAF) et diffusez-les en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les alertes Recherche dans les journaux Azure sur les espaces de travail Log Analytics doivent utiliser des clés gérées par le client | Veillez à ce que les alertes Recherche dans les journaux Azure implémentent des clés gérées par le client, en stockant le texte de la requête à l’aide du compte de stockage fourni par le client pour l’espace de travail Log Analytics interrogé. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Désactivé, Refus | 1.0.0 |
| Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » | Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » | AuditIfNotExists, Désactivé | 1.0.0 |
| Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client | Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les journaux Azure Monitor pour Application Insights doivent être liés à un espace de travail Log Analytics | Liez le composant Application Insights à un espace de travail Log Analytics pour le chiffrement des journaux. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos données dans Azure Monitor. Si vous liez votre composant à un espace de travail Log Analytics qui est activé avec une clé gérée par le client, vous êtes sûr que vos journaux Application Insights répondent à cette exigence de conformité ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, audit, refus, refus, désactivé, désactivé | 1.1.0 |
| L’étendue de liaison privée Azure Monitor doit bloquer l’accès aux ressources de liaison non privées | Le lien privé Azure vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue de liaison privée Azure Monitor. Les modes d’accès aux liens privés sont définis sur votre Étendue de liaison privée Azure Monitor pour contrôler si les demandes d’ingestion et de requête de vos réseaux peuvent atteindre toutes les ressources, ou uniquement les ressources de lien privé (pour empêcher l’exfiltration de données). En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Refuser, Désactivé | 1.0.0 |
| L’étendue de liaison privée d’Azure Monitor doit utiliser un lien privé | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’étendue de liaison privée d’Azure Monitor, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Monitor doit collecter les journaux d’activité dans toutes les régions | Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. | AuditIfNotExists, Désactivé | 2.0.0 |
| La solution 'Security and Audit' d’Azure Monitor doit être déployée | Cette stratégie garantit que la solution Security and Audit est déployée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité | Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer les journaux d’activité Azure dans le flux vers l’espace de travail Log Analytics spécifié | Déploie les paramètres de diagnostic de l’activité Azure sur les journaux d’audit des abonnements de flux dans un espace de travail Log Analytics pour surveiller les événements au niveau de l’abonnement | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les composants Azure Application pour désactiver l’accès au réseau public pour l’ingestion et l’interrogation des journaux | Désactivez l’ingestion et l’interrogation des journaux des composants à partir des réseaux publics pour améliorer la sécurité. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modifier, Désactivé | 1.1.0 |
| Configurer des espaces de travail Azure Log Analytics pour désactiver l’accès au réseau public pour l’ingestion et l’interrogation des journaux | Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modifier, Désactivé | 1.1.0 |
| Configurer l’étendue de liaison privée Azure Monitor pour bloquer l’accès aux ressources de liaison non privées | Le lien privé Azure vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue de liaison privée Azure Monitor. Les modes d’accès aux liens privés sont définis sur votre Étendue de liaison privée Azure Monitor pour contrôler si les demandes d’ingestion et de requête de vos réseaux peuvent atteindre toutes les ressources, ou uniquement les ressources de lien privé (pour empêcher l’exfiltration de données). En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modifier, Désactivé | 1.0.0 |
| Configurer l’étendue de liaison privée d’Azure Monitor pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en étendue de liaison privée Azure Monitor. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les étendues de liens privés d’Azure Monitor avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée d’Azure Monitor, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Dependency Agent sur les serveurs Linux avec Azure Arc | Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer Dependency Agent sur serveurs Linux avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent | Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Désactivé | 1.1.2 |
| Configurer Dependency Agent sur les serveurs Windows avec Azure Arc | Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer Dependency Agent sur serveurs Windows avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent | Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Désactivé | 1.1.2 |
| Configurer des machines Arc Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines Linux avec Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 2.2.0 |
| Configurer des machines Linux avec Arc pour exécuter l’agent Azure Monitor | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 2.3.0 |
| Configurer des machines Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’Association pour lier des machines virtuelles Linux, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 6.3.0 |
| Configurer des groupes de machines virtuelles identiques Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.2.0 |
| Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.4.0 |
| Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.5.0 |
| Configurer des machines virtuelles Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.2.0 |
| Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.4.0 |
| Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.5.0 |
| Configurer l’extension Log Analytics sur des serveurs Linux activés pour Azure Arc. Voir l’avis de dépréciation ci-dessous | Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace | DeployIfNotExists, Désactivé | 2.1.1 |
| Configurer l’extension Log Analytics sur des serveurs Windows avec Azure Arc | Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 2.1.1 |
| Configurer un espace de travail Log Analytics et le compte Automation pour centraliser les journaux et la surveillance | Déployez le groupe de ressources contenant un espace de travail Log Analytics et le compte Automation lié pour centraliser les journaux et la surveillance. Le compte Automation est un prérequis pour des solutions telles que les mises à jour et Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configurer des machines Arc Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines Windows avec Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 2.2.0 |
| Configurer des machines Windows avec Arc pour exécuter l’agent Azure Monitor | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 2.4.0 |
| Configurer des machines Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’Association pour lier des machines virtuelles Windows, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.4.0 |
| Configurer des groupes de machines virtuelles identiques Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 3.3.0 |
| Configurer des groupes de machines virtuelles identiques Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.4.0 |
| Configurer des groupes de machines virtuelles identiques Windows pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer des machines virtuelles Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines virtuelles Windows à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 3.3.0 |
| Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 4.4.0 |
| Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.4.0 |
| Dependency Agent doit être activé pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
| Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.0.0 |
| Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les groupes de machines virtuelles identiques Windows | Déployez Dependency Agent pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les machines virtuelles Windows | Déployez Dependency Agent pour les machines virtuelles Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer - Configurer les paramètres de diagnostic sur un espace de travail Log Analytics à activer sur un HSM managé par Azure Key Vault | Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des groupes de machines virtuelles identiques Windows | Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des machines virtuelles Windows | Déployez l’extension Log Analytics pour les machines virtuelles Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. | DeployIfNotExists, Désactivé | 3.1.0 |
| Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux | Déployez Dependency Agent pour les groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (OS) est dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux avec les paramètres d’agent Azure Monitoring | Déployez Dependency Agent pour les groupe de machines virtuelles identiques Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | DeployIfNotExists, Désactivé | 3.1.1 |
| Déployer Dependency Agent pour les machines virtuelles Linux | Déployez Dependency Agent pour les machines virtuelles Linux si l’image de machine virtuelle (SE) est dans la liste définie et que l’agent n’est pas installé. | deployIfNotExists | 5.0.0 |
| Déployer Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring | Déployez Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 3.1.1 |
| Déployer Dependency Agent à activer sur les groupes de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor | Déployez Dependency Agent pour les groupe de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. | DeployIfNotExists, Désactivé | 1.2.2 |
| Déployer Dependency Agent à activer sur les machines virtuelles Windows avec les paramètres d’agent Azure Monitor | Déployez Dependency Agent pour les machines virtuelles Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 1.2.2 |
| Déployer les paramètres de diagnostic de compte Batch sur Event Hub | Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un hub d’événements régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de compte batch sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un espace de travail Log Analytics régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Analytics sur Event Hub | Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un hub d’événements régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Analytics sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur Event Hub | Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un hub d’événements régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic d’Event Hub sur Event Hub | Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un hub d’événements régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.1.0 |
| Déployer les paramètres de diagnostic d’Event Hub sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un espace de travail Log Analytics régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Key Vault sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 3.0.0 |
| Déployer les paramètres de diagnostic de Logic Apps sur Event Hub | Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un hub d’événements régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Logic Apps sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un espace de travail Log Analytics régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer des paramètres de diagnostic pour les groupes de sécurité réseau | Cette stratégie déploie automatiquement les paramètres de diagnostic sur les groupes de sécurité réseau. Un compte de stockage portant le nom « {storagePrefixParameter}{NSGLocation} » est automatiquement créé. | deployIfNotExists | 2.0.1 |
| Déployer les paramètres de diagnostic des services de recherche sur Event Hub | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un hub d’événements régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un espace de travail Log Analytics régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Service Bus sur Event Hub | Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un hub d’événements régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Service Bus sur un espace de travail Log Analytics | Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un espace de travail Log Analytics régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.1.0 |
| Déployer les paramètres de diagnostic de Stream Analytics sur Event Hub | Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un hub d’événements régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic de Stream Analytics sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Linux. Voir l’avis de dépréciation ci-dessous | Déployez l’extension Log Analytics pour des groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. Avis de dépréciation : l’agent Log Analytics ne sera plus pris en charge après le 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace | deployIfNotExists | 3.0.0 |
| Déployez l’extension Log Analytics pour des machines virtuelles Linux. Voir l’avis de dépréciation ci-dessous | Déployez l’extension Log Analytics pour les machines virtuelles Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace | deployIfNotExists | 3.0.0 |
| Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les services Gestion des API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les services Gestion des API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les services Gestion des API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Configuration (microsoft.appconfiguration/configurationstores) vers Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour App Configuration (microsoft.appconfiguration/configurationstores) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Configuration (microsoft.appconfiguration/configurationstores) vers le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Service (microsoft.web/sites) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour un groupe d’applications (microsoft.desktopvirtualization/applicationgroups) sur Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un groupe d’application Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Application Insights (Microsoft.Insights/components) sur Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour Application Insights (Microsoft.Insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les comptes Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les comptes Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les comptes Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les clouds privés AVS (microsoft.avs/privateclouds) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les clouds privés AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les clouds privés AVS (microsoft.avs/privateclouds) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les clouds privés AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les clouds privés AVS (microsoft.avs/privateclouds) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les clouds privés AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure Cache pour Redis (microsoft.cache/redis) vers Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Azure Cache pour Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Azure Cache pour Redis (microsoft.cache/redis) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Cache pour Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure Cache pour Redis (microsoft.cache/redis) vers le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Azure Cache pour Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure Cosmos DB (microsoft.documentdb/databaseaccounts) sur Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure Machine Learning (microsoft.machinelearningservices/workspaces) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Azure Machine Learning (microsoft.machinelearningservices/workspaces) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Azure Machine Learning (microsoft.machinelearningservices/workspaces) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Bastions (microsoft.network/bastionhosts) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Bastions (microsoft.network/bastionhosts) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Bastions (microsoft.network/bastionhosts) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) vers le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les registres de conteneurs (microsoft.containerregistry/registries) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les registres de conteneurs (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les registres de conteneurs (microsoft.containerregistry/registries) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les registres de conteneurs (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les registres de conteneurs (microsoft.containerregistry/registries) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les registres de conteneurs (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les domaines Event Grid (microsoft.eventgrid/domains) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les domaines Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les domaines Event Grid (microsoft.eventgrid/domains) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les domaines Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les domaines Event Grid (microsoft.eventgrid/domains) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les domaines Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les rubriques Event Grid (microsoft.eventgrid/topics) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les rubriques Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les rubriques Event Grid (microsoft.eventgrid/topics) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les rubriques Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les rubriques Event Grid (microsoft.eventgrid/topics) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les rubriques Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour un pare-feu (microsoft.network/azurefirewalls) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un pare-feu (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.cdn/profiles) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les profils Front Door et CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.cdn/profiles) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les profils Front Door et CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.cdn/profiles) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les profils Front Door et CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.network/frontdoors) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les profils Front Door et CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.network/frontdoors) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les profils Front Door et CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.network/frontdoors) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les profils Front Door et CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour une application de fonction (microsoft.web/sites) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour une application de fonction (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour un pool d’hôtes (microsoft.desktopvirtualization/hostpools) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un pool d’hôtes Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les coffres de clés (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les coffres de clés (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les coffres de clés (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les modules HSM gérés (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les modules HSM gérés (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les modules HSM gérés (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Media Services (microsoft.media/mediaservices) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Media Services (microsoft.media/mediaservices) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Media Services (microsoft.media/mediaservices) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Microsoft Purview (microsoft.purview/accounts) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les comptes Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les comptes Microsoft Purview (microsoft.purview/accounts) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les comptes Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les comptes Microsoft Purview (microsoft.purview/accounts) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les comptes Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour microsoft.network/p2svpngateways dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour microsoft.network/p2svpngateways dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour microsoft.network/p2svpngateways dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour un serveur flexible PostgreSQL (microsoft.dbforpostgresql/flexibleservers) sur Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un serveur flexible Azure Database PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les adresses IP publiques (microsoft.network/publicipaddresses) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les adresses IP publiques (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les adresses IP publiques (microsoft.network/publicipaddresses) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les adresses IP publiques (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les adresses IP publiques (microsoft.network/publicipaddresses) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les adresses IP publiques (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour SignalR (microsoft.signalrservice/signalr) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour SignalR (microsoft.signalrservice/signalr) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour SignalR (microsoft.signalrservice/signalr) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les bases de données SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les bases de données SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les bases de données SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les instances gérées SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les instances gérées SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les instances gérées SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Video Analyzer (microsoft.media/videoanalyzers) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour Video Analyzer (microsoft.media/videoanalyzers) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour Video Analyzer (microsoft.media/videoanalyzers) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour le service Web PubSub (microsoft.signalrservice/webpubsub) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour le service Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour le service Web PubSub (microsoft.signalrservice/webpubsub) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour le service Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour le service Web PubSub (microsoft.signalrservice/webpubsub) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour le service Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour un espace de travail (microsoft.desktopvirtualization/workspaces) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un espace de travail Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| L’agent Azure Monitor doit être installé sur des machines Linux avec Arc | Les machines Linux avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie audite les machines avec Arc dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 1.1.0 |
| L’agent Azure Monitor doit être installé sur les machines virtuelles Linux | Les groupes de machines virtuelles identiques Linux doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des groupes de machines virtuelles identiques avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.1.0 |
| L’agent Azure Monitor doit être installé sur les machines virtuelles Linux | Les machines virtuelles Linux doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des machines virtuelles avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.1.0 |
| L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées | Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les espaces de travail Log Analytics doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics | Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les espaces de travail Log Analytics doivent bloquer l’ingestion non Azure Active Directory. | L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. | Refus, Audit, Désactivation | 1.0.0 |
| Les adresses IP publiques doivent avoir les journaux de ressource activés pour Azure DDoS Protection | Activez les journaux de ressources des adresses IP publiques dans les paramètres de diagnostic, afin d’envoyer des données en streaming à un espace de travail Log Analytics. Obtenez une visibilité détaillée du trafic d’attaque et des actions entreprises pour atténuer les attaques DDoS par le biais de notifications, de rapports et de journaux de flux. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressources doivent être activés pour l’audit sur les ressources prises en charge | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. L’existence d’un paramètre de diagnostic pour le groupe de catégories Audit sur les types de ressources sélectionnés garantit que ces journaux sont activés et capturés. Les types de ressources applicables sont ceux qui prennent en charge le groupe de catégories « Audit ». | AuditIfNotExists, Désactivé | 1.0.0 |
| Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux | Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Linux avec Azure Arc | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Linux avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Windows avec Azure Arc | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Windows avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Linux | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Linux. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Linux | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles Linux. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles | Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques | Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les machines virtuelles doivent être connectées à un espace de travail spécifié | Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. | AuditIfNotExists, Désactivé | 1.1.0 |
| L’extension Log Analytics doit être installée sur les machines virtuelles | Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’agent Azure Monitor doit être installé sur des machines Windows avec Arc | Les machines Windows avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines Windows avec Arc dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 1.2.0 |
| L’agent Azure Monitor doit être installé sur les groupes de machines virtuelles identiques Windows | Les groupes de machines virtuelles identiques Windows doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les groupes de machines virtuelles identiques avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisés pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.2.0 |
| L’agent Azure Monitor doit être installé sur les machines virtuelles Windows | Les machines virtuelles Windows doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines virtuelles Windows avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les classeurs doivent être enregistrés dans des comptes de stockage que vous contrôlez | Avec le BYOS (Bring Your Own Storage), ces classeurs sont chargés dans un compte de stockage que vous contrôlez. Cela signifie que vous contrôlez la stratégie de chiffrement au repos, la stratégie de gestion de la durée de vie et l’accès réseau. Toutefois, vous êtes responsable des coûts associés à ce compte de stockage. Pour plus d’informations, visitez https://aka.ms/workbooksByos. | refus, Refus, audit, Audit, désactivé, Désactivé | 1.1.0 |
Réseau
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
| [Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0-preview |
| Une stratégie IPsec/IKE personnalisée doit être appliquée à toutes les connexions de passerelle de réseau virtuel Azure | Cette stratégie garantit que toutes les connexions de passerelle de réseau virtuel Azure utilisent une stratégie IPsec (Internet Protocol Security)/IKE (Internet Key Exchange). Algorithmes et forces de clé pris en charge - https://aka.ms/AA62kb0 | Audit, Désactivé | 1.0.0 |
| Toutes les ressources du journal de flux doivent être en état activé | Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
| Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel | Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Désactivé | 2.0.1 |
| Auditer la configuration des journaux de flux pour chaque réseau virtuel | Auditez le réseau virtuel pour vérifier si les journaux de flux sont configurés. L’activation des journaux de flux permet de journaliser des informations sur le trafic IP transitant par le réseau virtuel. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
| Azure Application Gateway doit être déployé avec Azure WAF | Nécessite le déploiement de ressources Azure Application Gateway avec Azure WAF. | Audit, Refuser, Désactivé | 1.0.0 |
| La stratégie de pare-feu Azure doit activer l’inspection TLS dans les règles d’application | L’activation de l’inspection TLS est recommandée pour toutes les règles d’application pour détecter, alerter et atténuer les activités malveillantes dans HTTPS. Pour en savoir plus sur l’inspection TLS avec le Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect | Audit, Refuser, Désactivé | 1.0.0 |
| Le pare-feu Azure Premium doit configurer un certificat intermédiaire valide pour activer l’inspection TLS | Configurez un certificat intermédiaire valide et activez TLS sur le Pare-feu Azure inspection TLS pour détecter, alerter et atténuer les activités malveillantes en HTTPS. Pour en savoir plus sur l’inspection TLS avec le Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect | Audit, Refuser, Désactivé | 1.0.0 |
| Les passerelles VPN Azure ne doivent pas utiliser la référence SKU « de base » | Cette stratégie garantit que les passerelles VPN n’utilisent pas de référence SKU « de base ». | Audit, Désactivé | 1.0.0 |
| L’inspection du corps de la demande doit être activée pour Azure Web Application Firewall sur Azure Application Gateway | Vérifiez que l’inspection du corps de la demande est activée pour les instances Web Application Firewall associées à des instances Azure Application Gateway. Cela permet au WAF d’inspecter les propriétés dans le corps HTTP qui peuvent ne pas être évaluées dans les en-têtes HTTP, les cookies ou l’URI. | Audit, Refuser, Désactivé | 1.0.0 |
| L’inspection du corps de la demande doit être activée pour Azure Web Application Firewall sur Azure Front Door | Vérifiez que l’inspection du corps de la demande est activée pour les instances Web Application Firewall associées à Azure Front Door. Cela permet au WAF d’inspecter les propriétés dans le corps HTTP qui peuvent ne pas être évaluées dans les en-têtes HTTP, les cookies ou l’URI. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Protection bot doit être activée pour WAF Azure Application Gateway | Cette stratégie garantit que la protection bot est activée dans toutes les stratégies de pare-feu d’applications web (WAF) Azure Application Gateway | Audit, Refuser, Désactivé | 1.0.0 |
| Protection bot doit être activée pour WAF Azure Front Door | Cette stratégie garantit que la protection bot est activée dans toutes les stratégies de pare-feu d’applications web (WAF) Azure Front Door | Audit, Refuser, Désactivé | 1.0.0 |
| La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) doit être vide dans la stratégie de pare-feu Premium | La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) vous permet de ne pas filtrer le trafic vers les adresses IP, les plages et les sous-réseaux spécifiés dans cette liste. Toutefois, l’activation d’IDPS est recommandée pour tous les flux de trafic afin de mieux identifier les menaces connues. Pour en savoir plus sur les signatures d’Intrusion Detection and Prevention System (IDPS) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer les paramètres de diagnostic pour les groupes de sécurité réseau Azure dans l’espace de travail Log Analytics | Déployez les paramètres de diagnostic dans des groupes de sécurité réseau Azure afin de diffuser les journaux de ressources vers un espace de travail Log Analytics. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les groupes de sécurité réseau pour activer Traffic Analytics | Vous pouvez activer Traffic Analytics pour tous les groupes de sécurité réseau hébergés dans une région particulière avec les paramètres fournis durant la création de la stratégie. Si Traffic Analytics est déjà activé, la stratégie ne remplace pas ses paramètres. Les journaux de flux sont également activés pour les groupes de sécurité réseau qui n’en disposent pas. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer des groupes de sécurité réseau pour utiliser un espace de travail, un compte de stockage et une stratégie de rétention de flux spécifiques pour l’analyse du trafic | Si Traffic Analytics est déjà activé, la stratégie remplace ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer un réseau virtuel pour activer le journal de flux et Traffic Analytics | Traffic Analytics et les journaux de flux peuvent être activés pour tous les réseaux virtuels hébergés dans une région particulière, avec les paramètres fournis lors de la création de la stratégie. Cette stratégie ne remplace pas le paramètre actuel pour les réseaux virtuels qui ont déjà cette fonctionnalité activée. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.1.1 |
| Configurer des réseaux virtuels pour appliquer un espace de travail, un compte de stockage et un intervalle de rétention pour les journaux de flux et Traffic Analytics | Si un réseau virtuel a déjà activé Traffic Analytics, la stratégie remplace alors ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.1.2 |
| Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Déployer une ressource de journal de flux avec un groupe de sécurité réseau cible | Configure le journal de flux pour un groupe de sécurité réseau spécifique. Il permettra à de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. | deployIfNotExists | 1.1.0 |
| Déployer une ressource de journal de flux avec un réseau virtuel cible | Configure le journal de flux pour un réseau virtuel spécifique. Cela permet de journaliser des informations sur le trafic IP transitant par un réseau virtuel. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. | DeployIfNotExists, Désactivé | 1.1.1 |
| Déployer Network Watcher lors de la création de réseaux virtuels | Cette stratégie crée une ressource Network Watcher dans des régions avec des réseaux virtuels. Vous devez vérifier l’existence d’un groupe de ressources nommé networkWatcherRG, qui sert à déployer des instances de Network Watcher. | DeployIfNotExists | 1.0.0 |
| Activer la règle de limitation du débit pour se protéger contre les attaques DDoS sur Azure Front Door WAF | La règle de limitation du débit du pare-feu d’applications web (WAF) Azure pour Azure Front Door contrôle le nombre de requêtes autorisées à partir d’une adresse IP cliente particulière à l’application pendant une durée de limitation du débit. | Audit, Refuser, Désactivé | 1.0.0 |
| Event Hub doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| La stratégie de pare-feu Premium doit activer toutes les règles de signature IDPS pour surveiller tous les flux de trafic entrant et sortant | L’activation de toutes les règles de signature IDPS (Intrusion Detection and Prevention System) est recommandée pour mieux identifier les menaces connues dans les flux de trafic. Pour en savoir plus sur les signatures d’Intrusion Detection and Prevention System (IDPS) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature | Audit, Refuser, Désactivé | 1.0.0 |
| La stratégie de pare-feu Premium doit activer le système de détection et de prévention des intrusions (IDPS) | Activer l’IDPS (Intrusion Detection and Prevention System) vous permet de surveiller les activités malveillantes, de consigner des informations sur ces activités, de les signaler, voire de les bloquer. Pour en savoir plus sur IDPS (Intrusion Detection and Prevention System) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps | Audit, Refuser, Désactivé | 1.0.0 |
| Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.1.0 |
| Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau | Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. | deny | 1.0.0 |
| Key Vault doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| Migrer WAF de la configuration WAF vers la stratégie WAF sur Application Gateway | Si vous avez une configuration WAF au lieu d’une stratégie WAF, vous pouvez passer à la nouvelle stratégie WAF. À l’avenir, la stratégie de pare-feu prendra en charge les paramètres de stratégie WAF, les ensembles de règles managés, les exclusions et les groupes de règles désactivés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les interfaces réseau doivent désactiver le transfert IP | Cette stratégie refuse les interfaces réseau qui permettaient le transfert IP. Le paramètre de transfert IP désactive la vérification par Azure de la source et de la destination d’une interface réseau. Il doit être examiné par l’équipe de sécurité réseau. | deny | 1.0.0 |
| Les interfaces réseau ne doivent pas avoir d’adresses IP publiques | Cette stratégie refuse les interfaces réseau configurées avec une adresse IP publique. Les adresses IP publiques permettent aux ressources Internet de communiquer avec les ressources Azure et aux ressources Azure de communiquer avec Internet. Il doit être examiné par l’équipe de sécurité réseau. | deny | 1.0.0 |
| Traffic Analytics doit être activé pour les journaux de flux Network Watcher | Traffic Analytics examine les journaux de flux pour fournir des informations sur le flux de trafic de votre cloud Azure. Il peut être utilisé pour visualiser l’activité réseau de vos abonnements Azure ainsi que pour identifier les points d’accès, identifier les menaces de sécurité, comprendre les modèles de flux de trafic, identifier les problèmes de configuration réseau, etc. | Audit, Désactivé | 1.0.1 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| SQL Server doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| L’abonnement doit configurer le pare-feu Azure Premium pour fournir une couche de protection supplémentaire | Le pare-feu Azure Premium offre une protection avancée contre les menaces qui répond aux besoins des environnements hautement sensibles et réglementés. Déployez le Pare-feu Azure Premium sur votre abonnement et assurez-vous que tout le trafic du service est protégé par le Pare-feu Azure Premium. Pour en découvrir plus sur le Pare-feu Azure Premium, visitez https://aka.ms/fw-premium | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être connectées à un réseau virtuel approuvé | Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. | Audit, Refuser, Désactivé | 1.0.0 |
| Les réseaux virtuels doivent être protégés par Azure DDoS Protection | Protégez vos réseaux virtuels contre les attaques volumétriques et de protocole avec Azure DDoS Protection. Pour plus d’informations, consultez https://aka.ms/ddosprotectiondocs. | Modifier, Audit, Désactivé | 1.0.1 |
| Les réseaux virtuels doivent utiliser la passerelle de réseau virtuel spécifiée | Cette stratégie audite les réseaux virtuels si la route par défaut ne pointe pas vers la passerelle de réseau virtuel spécifiée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les passerelles VPN doivent utiliser uniquement l’authentification Azure AD (Azure Active Directory) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. En savoir plus sur l’authentification Azure AD sur https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Refuser, Désactivé | 1.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
| Web Application Firewall (WAF) doit activer toutes les règles de pare-feu pour Application Gateway | L’activation de toutes les règles de Web Application Firewall (WAF) renforce la sécurité de votre application et protège vos applications web contre les vulnérabilités courantes. Pour en savoir plus sur Web Application Firewall (WAF) avec Application Gateway, visitez https://aka.ms/waf-ag | Audit, Refuser, Désactivé | 1.0.1 |
| Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. | Audit, Refuser, Désactivé | 1.0.0 |
| Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. | Audit, Refuser, Désactivé | 1.0.0 |
Portail
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les tableaux de bord partagés ne doivent pas comporter de vignettes Markdown contenant du contenu inline | N’autorisez pas la création d’un tableau de bord partagé comportant du contenu inline dans des vignettes Markdown. Imposez que le contenu soit stocké comme fichier Markdown hébergé en ligne. Si vous utilisez du contenu inline dans la vignette Markdown, vous ne pouvez pas gérer le chiffrement du contenu. En configurant votre propre stockage, vous pourrez effectuer un chiffrement, un chiffrement double et même une procédure Bring Your Own Key. Cette stratégie empêche les utilisateurs d’utiliser les versions 2020-09-01-preview et ultérieures de l’API REST des tableaux de bord partagés. | Audit, Refuser, Désactivé | 1.0.0 |
Résilience
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : le service Gestion des API doit être redondant interzone | Le service Gestion des API peut être configuré pour être redondant interzone ou non. Un service Gestion des API est redondant interzone si son nom de référence SKU est 'Premium' et qu’il comporte au moins deux entrées dans son tableau de zones. Cette stratégie identifie les services Gestion des API qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.1-preview |
| [Préversion] : les plans App Service doivent être redondants interzone | Les plans App Service peuvent être configurés pour être redondants interzone ou non. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un plan App Service, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les plans App Service. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Passerelles Application Gateway doivent être résilientes aux zones | Les passerelles Application Gateway peut être configuré pour être aligné sur la zone, redondant interzone ou aucun des deux. Les passerelles Application Gateway avec exactement une entrée dans leur tableau de zones sont considérés comme alignées sur la zone. En revanche, les passerelles Application Gateway avec 3 entrées ou plus dans leur tableau de zones sont reconnues comme redondantes interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : le service Recherche Azure AI doit être redondant interzone | Le service Recherche Azure AI peut être configuré pour être redondant interzone ou non. Les zones de disponibilité sont utilisées lorsque vous ajoutez deux réplicas ou plus à votre service de recherche. Chaque réplica est placé dans une zone de disponibilité distincte au sein de la région. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Azure Cache pour Redis Enterprise et Flash doivent être redondants interzone | Azure Cache pour Redis Enterprise et Flash peuvent être configurés pour être redondants interzone ou non. Les instances Azure Cache pour Redis Enterprise et Flash dont le tableau de zones contient moins de 3 entrées ne sont pas redondantes interzone. Cette stratégie identifie les instances Azure Cache pour Redis Enterprise et Flash qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [préversion] : Azure Cache pour Redis doit être redondant interzone | Azure Cache pour Redis peut être configuré pour être redondant interzone ou non. Les instances Azure Cache pour Redis dont le tableau de zones contient moins de 2 entrées ne sont pas redondantes interzone. Cette stratégie identifie les instances Azure Cache pour Redis qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les clusters Azure Data Explorer doivent être redondants interzones | Vous pouvez configurer des clusters Azure Data Explorer pour qu’ils soient redondants interzones ou non. Un cluster Azure Data Explorer est considéré comme redondant interzone si son tableau de zones comprend au moins deux entrées. Cette stratégie permet de garantir que vos clusters Azure Data Explorer sont redondants interzones. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : le serveur flexible Azure Database pour MySQL doit être résilient à la zone | Le serveur flexible Azure Database pour MySQL peut être configuré pour être aligné sur la zone, redondant interzone ou aucun des deux. Le serveur MySQL disposant d’un serveur de secours sélectionné dans la même zone pour la haute disponibilité est considéré comme aligné sur la zone. En revanche, un serveur MySQL qui dispose d’un serveur de secours sélectionné pour être dans une zone différente dans le cadre d’une haute disponibilité est reconnu comme redondant interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : le serveur flexible Azure Database pour PostgreSQL doit être résilient à la zone | Le serveur flexible Azure Database pour PostgreSQL peut être configuré pour être aligné sur la zone, redondant interzone ou aucun des deux. Le serveur PostgreSQL disposant d’un serveur de secours sélectionné dans la même zone pour la haute disponibilité est considéré comme aligné sur la zone. En revanche, un serveur PostgreSQL qui dispose d’un serveur de secours sélectionné pour être dans une zone différente dans le cadre d’une haute disponibilité est reconnu comme redondant interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Azure HDInsight doit être aligné sur la zone | Azure HDInsight peut être configuré pour être aligné sur la zone ou non. Azure HDInsight avec exactement une entrée dans son tableau de zones est considéré comme aligné sur la zone. Cette stratégie garantit qu’un cluster Azure HDInsight est configuré pour fonctionner dans une seule zone de disponibilité. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les clusters managés Azure Kubernetes Service doivent être redondants interzone | Les clusters managés Azure Kubernetes Service peuvent être configurés pour être redondants interzones ou non. La stratégie vérifie les pools de nœuds dans le cluster et garantit que les zones de disponibilité sont définies pour tous les pools de nœuds. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Azure Managed Grafana doit être redondant interzone | Azure Managed Grafana peut être configuré pour être redondant interzone ou non. Une instance Azure Managed Grafana est redondante interzone si sa propriété « zoneRedundancy » est définie sur « Activé ». L’application de cette stratégie vous permet de vérifier que Azure Managed Grafana est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Sauvegarde et Site Recovery doivent être redondants interzone | Sauvegarde et Site Recovery peuvent être configurés pour être redondants interzone ou non. Sauvegarde et Site Recovery sont redondants interzone si la propriété 'standardTierStorageRedundancy' est définie sur 'ZoneRedundant'. L’application de cette stratégie vous permet de vérifier que Sauvegarde et Site Recovery sont configurés de manière appropriée pour la résilience à la zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les coffres de sauvegarde doivent être redondants interzone | Les coffres de sauvegarde peuvent être configurés pour être redondants interzone ou non. Les coffres de sauvegarde sont redondants interzone si le type de paramètres de stockage est défini sur 'ZoneRedundant' et qu’ils sont considérés comme résilients. Les coffres de sauvegarde géoredondants ou localement redondants ne sont pas considérés comme résilients. L’application de cette stratégie vous permet de vérifier que les coffres de sauvegarde sont configurés de manière appropriée pour la résilience à la zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : l’application conteneur doit être redondante interzone | L’application conteneur peut être configurée pour être redondante interzone ou non. Une application conteneur est redondante interzone si la propriété 'ZoneRedundant' de son environnement managé est définie sur 'true'. Cette stratégie identifie l’application conteneur qui ne dispose pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Container Instances doit être aligné sur la zone | Container Instances peut être configuré pour être aligné sur la zone ou non. Elles sont considérées comme alignées sur la zone si elles n’ont qu’une seule entrée dans leur tableau de zones. Cette stratégie garantit qu’elles sont configurées pour fonctionner dans une seule zone de disponibilité. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Container Registry doit être redondant interzone | Container Registry peut être configuré pour être redondant interzone ou non. Lorsque la propriété zoneRedundancy pour un registre de conteneurs est définie sur « Désactivée », cela signifie que le registre n’est pas redondant interzone. L’application de cette stratégie vous permet de vérifier que votre registre de conteneurs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les comptes de base de données Cosmos doivent être redondants interzone | Les comptes de base de données Cosmos peuvent être configurés pour être redondants interzones ou non. Si la valeur « enableMultipleWriteLocations » est définie sur « true », tous les emplacements doivent avoir une propriété « isZoneRedundant » et être définis sur « true ». Si la valeur « enableMultipleWriteLocations » est définie sur « false », l’emplacement principal (« failoverPriority » défini sur 0) doit avoir une propriété « isZoneRedundant » et être défini sur « true ». L’application de cette stratégie garantit que les comptes de base de données Cosmos sont correctement configurés pour la redondance de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Event Hubs doit être redondant interzone | Event Hubs peut être configuré pour être redondant interzone ou non. Event Hubs est redondant interzone si sa propriété « zoneRedundant » est définie sur « true ». L’application de cette stratégie vous permet de vérifier que Event Hubs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les pare-feux doivent être résilients à la zone | Les pare-feux peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les pare-feux avec exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les pare-feux avec 3 entrées ou plus dans leur tableau de zones sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les équilibreurs de charge doivent être résilients à la zone | Les équilibreurs de charge avec une référence SKU autre que 'De base' héritent de la résilience des adresses IP publiques dans leur front-end. Associée à la stratégie 'Les adresses IP publiques doivent être résilientes à la zone', cette approche garantit la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les Disques managés doivent être résilients à la zone | Les Disques managés peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les Disques managés avec exactement une affectation de zone sont alignés sur la zone. Les Disques managés portant un nom de référence SKU qui se terminent par ZRS sont redondants interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience pour les Disques managés. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : la passerelle NAT doit être alignée | La passerelle NAT peut être configurée pour être alignée sur la zone ou non. La passerelle NAT avec exactement une entrée dans son tableau de zones est considérée comme alignée sur la zone. Cette stratégie garantit qu’une passerelle NAT est configurée pour fonctionner dans une seule zone de disponibilité. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les adresses IP publiques doivent être résilientes à la zone | Les adresses IP publiques peuvent être configurés pour être alignées sur la zone, redondantes interzone ou aucune des deux. Les adresses IP publiques qui sont régionales, avec exactement une entrée dans leur tableau de zones sont considérées comme alignées sur la zone. En revanche, les adresses IP publiques qui sont régionales, avec 3 entrées ou plus dans leur tableau de zones sont reconnues comme redondantes interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.1.0-preview |
| [Préversion] : les préfixes d’adresse IP publiques doivent être résilients à la zone | Les préfixes d’adresse IP publiques peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les préfixes d’adresse IP publiques qui ont exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les préfixes d’adresse IP publiques avec 3 entrées ou plus dans leur tableau de zones sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] Service Bus doit être redondant au niveau de la zone | Service Bus peut être configuré pour être ou non redondant au niveau de la zone. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un Service Bus, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les instances Service Bus. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les clusters Service Fabric doivent être redondants interzone | Les clusters Service Fabric peuvent être configurés pour être redondants interzone ou non. Les clusters Service Fabric dont le nodeType n’a pas multipleAvailabilityZones défini sur true ne sont pas redondants interzone. Cette stratégie identifie les clusters Service Fabric qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les bases de données SQL doivent être redondantes interzone | Les bases de données SQL peuvent être configurées pour être redondantes interzone ou non. Les bases de données avec le paramètre « zoneRedundant » défini sur « false » ne sont pas configurées pour la redondance de zone. Cette stratégie permet d’identifier les bases de données SQL nécessitant une configuration de redondance de zone pour améliorer la disponibilité et la résilience au sein d’Azure. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les pools de bases de données élastiques SQL doivent être redondants interzone | Les pools de bases de données élastiques SQL peuvent être configurés pour être redondants interzones ou non. Les pools de bases de données élastiques SQL sont redondants interzone si leur propriété « zoneRedundant » est définie sur « true ». L’application de cette stratégie vous permet de vérifier que Event Hubs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les instances managées SQL doivent être redondantes interzone | Les instances managées SQL peuvent être configurées pour être redondantes interzones ou non. Les instances avec le paramètre « zoneRedundant » défini sur « false » ne sont pas configurées pour la redondance de zone. Cette stratégie permet d’identifier les instances managées SQL qui ont besoin d’une configuration de redondance de zone pour améliorer la disponibilité et la résilience au sein d’Azure. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les comptes de stockage doivent être redondants interzone | Les comptes de stockage peuvent être configurés pour être redondants interzones ou non. Si le nom de la référence SKU d’un compte de stockage ne se termine pas par « ZRS » ou son type est « Stockage », il n’est pas redondant interzone. Cette stratégie garantit que vos comptes de stockage utilisent une configuration redondante interzone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les groupes de machines virtuelles identiques doivent être résilients aux zones | Les groupes de machines virtuelles identiques peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les groupes de machines virtuelles identiques qui ont exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les groupes de machines virtuelles identiques avec 3 entrées ou plus dans leur tableau de zones et une capacité d’au moins 3 sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les machines virtuelles doivent être alignées sur la zone | Les machines virtuelles peuvent être configurées pour être alignées sur la zone ou non. Elles sont considérées comme alignées sur la zone si elles n’ont qu’une seule entrée dans leur tableau de zones. Cette stratégie garantit qu’elles sont configurées pour fonctionner dans une seule zone de disponibilité. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les passerelles de réseau virtuel doivent être redondantes interzone | Les passerelles de réseau virtuel peuvent être configurées pour être redondantes interzones ou non. Les passerelles de réseau virtuel dont le nom ou le niveau de référence SKU ne se terminent pas par « AZ » ne sont pas redondantes interzone. Cette stratégie identifie les passerelles de réseau virtuel qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
Recherche
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les méthode d'authentification locales doivent être désactivées pour les services de Recherche cognitive Azure | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les services de Recherche cognitive Azure requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. Notez que si le paramètre de désactivation de l’authentification locale est toujours en préversion, le refus de cette stratégie peut entraîner une limitation des fonctionnalités dans le portail de Recherche cognitive Azure, car certaines fonctionnalités du portail utilisent l’API en disponibilité générale qui ne prend pas en charge ce paramètre. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services de Recherche cognitive Azure doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’activation du chiffrement au repos à l’aide d’une clé gérée par le client sur vos services de Recherche cognitive Azure vous offre un contrôle supplémentaire sur la clé utilisée pour chiffrer les données au repos. Cette fonctionnalité est souvent applicable aux clients ayant des exigences de conformité spéciales pour gérer des clés de chiffrement de données à l’aide d’un coffre de clés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Configurer les services de Recherche cognitive Azure pour désactiver l'authentification locale | Désactivez les méthodes d’authentification locales de façon à ce que vos services de Recherche cognitive Azure requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. | Modifier, Désactivé | 1.0.0 |
| Configurer les services Recherche cognitive Azure pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour votre service Recherche cognitive Azure pour qu’il ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modifier, Désactivé | 1.0.0 |
| Configurer les services Recherche cognitive Azure pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en votre service Recherche cognitive Azure. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les services Recherche cognitive Azure avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre service Recherche cognitive Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Security Center
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’agent Azure Security doit être installé sur vos machines Linux Arc | Installez l’agent Azure Security sur vos machines Linux Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Linux | Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Linux | Installez l’agent Azure Security sur vos machines virtuelles Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines Windows Arc | Installez l’agent Azure Security sur vos machines Windows Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Windows | Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Windows | Installez l’agent Azure Security sur vos machines virtuelles Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : l’extension ChangeTracking doit être installée sur votre machine Linux Arc | Installez l’extension ChangeTracking sur les machines Linux Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Linux | Installez l’extension ChangeTracking sur les machines virtuelles Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Linux | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : l’extension ChangeTracking doit être installée sur votre machine Windows Arc | Installez l’extension ChangeTracking sur les machines Windows Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Windows | Installez l’extension ChangeTracking sur des machines virtuelles Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Windows | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’agent Azure Defender pour SQL sur une machine virtuelle | Configurez des machines Windows pour installer automatiquement l’agent Azure Defender pour SQL où l’agent Azure Monitor est installé. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : configurer l’extension ChangeTracking pour les machines Linux Arc | Configurez des machines Linux Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Linux | Configurez des groupes de machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Linux | Configurez des machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : configurer l’extension ChangeTracking pour les machines Windows Arc | Configurez des machines Windows Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Windows | Configurez des groupes de machines virtuelles identiques Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Windows | Configurez des machines virtuelles Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les machines Linux Arc prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines Linux Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Linux Arc cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles identiques Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 6.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 5.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 7.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : Configurer les machines virtuelles prises en charge pour activer automatiquement vTPM | Configurez les machines virtuelles prises en charge pour activer automatiquement vTPM afin de faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les machines Windows Arc prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Windows Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Windows Arc cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent Azure Security | Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security | Configurez les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les groupes de machines virtuelles identiques Windows cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles identiques Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 4.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 3.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : Configurer les machines virtuelles créées avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer le groupe de machines virtuelles identiques créé avec Shared Image Gallery images pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux | Déploie l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Linux | Déploie Microsoft Defender pour l’agent point de terminaison sur les images de machine virtuelle Linux applicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc | Déploie Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Windows | Déploie Microsoft Defender pour point de terminaison sur les images de machine virtuelle Windows applicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender pour le cloud a identifié des composants de démarrage du système d’exploitation non approuvés sur une ou plusieurs de vos machines Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les machines virtuelles Linux doivent utiliser le démarrage sécurisé | Pour protéger contre l’installation de rootkits et de kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque | Les conditions d’utilisation d’Azure interdisent l’utilisation des services Azure d’une manière qui pourrait endommager, désactiver, surcharger ou perturber un serveur Microsoft ou le réseau. Les ports exposés identifiés par cette recommandation doivent être fermés pour le maintien de votre sécurité. Pour chaque port identifié, la recommandation fournit également une explication de la menace potentielle. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | Audit, Désactivé | 4.0.0-preview |
| [Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’état de l’attestation d’invité des machines virtuelles doit être sain | L’attestation d’invité est exécutée par l’envoi d’un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage qui peuvent résulter d’une infection par un kit de démarrage ou un rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, Désactivé | 2.0.0-preview |
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour faciliter la réduction des risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Apprenez-en plus ici sur la menace de l’API OWASP pour l’authentification utilisateur interrompue : https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Désactivé | 1.0.1 |
| Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu de trafic depuis 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il pourrait s’agir d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui auraient été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists, Désactivé | 1.0.1 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doit être activé | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists, Désactivé | 1.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez configurer les instances de rôle Services cloud (support étendu) de manière sécurisée | Protégez vos instances de rôle de service cloud (support étendu) contre les attaques en vérifiant qu’elles ne sont pas exposées à des vulnérabilités de système d’exploitation. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer une solution Endpoint Protection sur les instances de rôle Services cloud (support étendu) | Protégez vos instances de rôle Services cloud (support étendu) contre les menaces et les vulnérabilités en veillant à y installer solution Endpoint Protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer les mises à jour système des instances de rôle Services cloud (support étendu) | Sécurisez vos instances de rôle Services cloud (support étendu) en veillant à y installer les mises à jour de sécurité et les mises à jour critiques les plus récentes. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs flexibles Azure Database pour PostgreSQL | Activez la protection avancée contre les menaces sur vos serveurs flexibles Azure Database pour PostgreSQL afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement l’agent Azure Monitor | Automatisez le déploiement de l’extension Agent Azure Monitor sur vos serveurs SQL avec Arc Windows. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL | Configurez les serveurs SQL avec Arc Windows pris en charge pour installer automatiquement l’agent Microsoft Defender pour SQL. Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer des serveurs SQL avec Arc avec association de règles de collecte de données à une DCR Microsoft Defender pour SQL | Configurez l’association entre les serveurs SQL avec Arc et la DCR Microsoft Defender pour SQL. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des serveurs SQL avec Arc avec association de règles de collecte de données à une DCR Microsoft Defender pour SQL définie par l’utilisateur | Configurez l’association entre les serveurs SQL avec Arc et la DCR Microsoft Defender pour SQL définie par l’utilisateur. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer Azure Defender pour activer App Service | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer la base de données Azure SQL | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer les bases de données relationnelles open source | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Defender pour activer Resource Manager | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer Azure Defender pour activer les serveurs | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer les serveurs SQL sur des machines | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer l’activation de Microsoft Defender pour le stockage de base (supervision de l’activité uniquement) | Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Cette stratégie active les fonctionnalités de base de Defender pour le stockage (supervision de l’activité). Pour activer la protection complète, qui inclut également l’analyse des programmes malveillants lors du chargement et la détection des menaces ciblant des données sensibles, utilisez la stratégie d’activation complète : aka.ms/DefenderForStoragePolicy. Pour en savoir plus sur les fonctionnalités et les avantages de Defender pour le stockage, consultez la page aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités | Azure Defender comprend l’analyse des vulnérabilités de vos machines sans coût supplémentaire. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Quand vous activez cette stratégie, Azure Defender déploie automatiquement l’agent d’évaluation des vulnérabilités de Qualys sur tous les ordinateurs pris en charge qui en sont dépourvus. | DeployIfNotExists, Désactivé | 4.0.0 |
| Configurer un plan Microsoft Defender CSPM | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender CSPM pour qu’il soit activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer Microsoft Defender pour Azure Cosmos DB à activer | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un plan Microsoft Defender pour les conteneurs | De nouvelles fonctionnalités sont ajoutées en permanence au plan Defender pour conteneurs, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender pour les conteneurs à activer | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP_EXCLUDE_LINUX...) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP_EXCLUDE_LINUX_...), pour activer l’approvisionnement automatique de MDE pour les serveurs Linux. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP_UNIFIED_SOLUTION) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP_UNIFIED_SOLUTION), pour activer l’approvisionnement automatique de l’agent unifié MDE pour Windows Server 2012R2 et 2016. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP), pour les machines de niveau inférieur Windows intégrées à MDE via MMA et l’approvisionnement automatique de MDE sur Windows Server 2019, Windows Virtual Desktop et versions ultérieures. Doit être activé pour que les autres paramètres (WDATP_UNIFIED, etc.) fonctionnent. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer le plan Microsoft Defender pour Key Vault | Microsoft Defender pour Key Vault fournit une couche supplémentaire de protection et d’informations de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès aux comptes de coffre de clés ou d’exploitation de ceux-ci. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer le plan Microsoft Defender pour serveurs | De nouvelles fonctionnalités sont ajoutées en permanence à Defender pour serveurs, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender pour SQL pour l’activer sur les espaces de travail Synapse | Activez Microsoft Defender pour SQL sur vos espaces de travail Azure Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données SQL. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation de Microsoft Defender pour le stockage (classique) | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer l’activation de Microsoft Defender pour le stockage | Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Cette stratégie active toutes les fonctionnalités de Defender pour le stockage : supervision de l’activité, analyse des programmes malveillants et détection des menaces ciblant des données sensibles. Pour en savoir plus sur les fonctionnalités et les avantages de Defender pour le stockage, consultez la page aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement l’agent Azure Monitor | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos Machines virtuelles Windows SQL. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL | Configurer les Machines virtuelles Windows SQL pour qu'elles installent automatiquement l'extension Microsoft Defender pour SQL. Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer l’espace de travail Log Analytics Microsoft Defender pour SQL | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.2.0 |
| Créer et attribuer une identité managée affectée par l’utilisateur intégrée | Créer et attribuer aux machines virtuelles SQL une identité managée affectée par l’utilisateur intégrée à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.4.0 |
| Déployer - Configurer des règles de suppression pour les alertes Azure Security Center | Supprimez des alertes Azure Security Center pour réduire un trop grand nombre d’alertes en déployant des règles de suppression sur votre groupe d’administration ou votre abonnement. | deployIfNotExists | 1.0.0 |
| Déployer l'exportation vers Event Hub en tant que service approuvé pour les données Microsoft Defender pour le cloud | Activez l’exportation vers Event Hub en tant que service approuvé des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation sur Event Hub en tant que service approuvé avec vos conditions et votre instance Event Hub cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer l’exportation vers Event Hub pour les données Microsoft Defender pour le cloud | Activer l’exportation vers Event Hub des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers Event Hub avec vos conditions et un hub d’événements cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.2.0 |
| Déployer l’exportation vers l’espace de travail Log Analytics pour les données Microsoft Defender pour le cloud | Activer l’exportation vers l’espace de travail Log Analytics des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers un espace de travail Log Analytics avec vos conditions et un espace de travail cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.1.0 |
| Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud | Activez l’automatisation des alertes Microsoft Defender pour cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud | Activez l’automatisation des recommandations de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud | Permettre l’automatisation de la conformité réglementaire de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
| Activer Microsoft Defender pour le cloud dans votre abonnement | Identifie les abonnements existants qui ne font pas l’objet d’un monitoring par Microsoft Defender pour le cloud, et les protège avec les fonctionnalités gratuites de Defender pour le cloud. Les abonnements faisant déjà l’objet d’un monitoring sont considérés comme conformes. Pour inscrire les abonnements venant d’être créés, ouvrez l’onglet de conformité, sélectionnez l’affectation non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 1.0.1 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec un espace de travail personnalisé. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide d’un espace de travail personnalisé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec l’espace de travail par défaut. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide de l’espace de travail ASC par défaut. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. | AuditIfNotExists, Désactivé | 1.0.0 |
| La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques | Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Vous devez installer l’agent d’analytique des journaux d’activité sur vos instances de rôle Services cloud (support étendu) | Security Center collecte les données de vos instances de rôle Services cloud (support étendu) pour surveiller les vulnérabilités et les menaces liées à la sécurité. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Defender CSPM doit être activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour API doit être activé | Microsoft Defender pour API fournit une nouvelle couverture de découverte, de protection, de détection et de réponse pour surveiller les attaques basées sur les API courantes et les configurations de sécurité incorrectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Defender pour Azure Cosmos DB doit être activé | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL pour protéger vos espaces de travail Synapse. Defender pour SQL surveille Synapse SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL compatibles avec Arc | Microsoft Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, découvrir et classer les données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même lorsque Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et SQL Server pour garantir une protection active. | Audit, Désactivé | 1.0.1 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le niveau tarifaire standard Security Center doit être sélectionné | Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center | Audit, Désactivé | 1.1.0 |
| Configurer des abonnements pour passer à une autre solution d'évaluation des vulnérabilités | Microsoft Defender pour le cloud propose une analyse des vulnérabilités pour vos machines sans frais supplémentaires. L'activation de cette stratégie entraînera la propagation automatique par Defender pour Cloud des résultats de la solution intégrée de gestion des vulnérabilités Microsoft Defender à toutes les machines prises en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| L’approvisionnement automatique ciblé sur le serveur SQL doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que Azure Monitoring Agent ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l’approvisionnement automatique de Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : https://aka.ms/SQLAMAMigration | AuditIfNotExists, Désactivé | 1.0.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
Security Center – Tarification granulaire
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurer la désactivation d’Azure Defender pour serveurs pour toutes les ressources (niveau de ressource) | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie désactive le plan Defender pour serveurs pour toutes les ressources (machines virtuelles, groupes de machines virtuelles identiques et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer la désactivation d’Azure Defender pour serveurs pour les ressources (niveau de ressource) comportant l’étiquette sélectionnée | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie désactive le plan Defender pour serveurs pour toutes les ressources (machines virtuelles, groupes de machines virtuelles identiques et machines ARC) comportant le nom d’étiquette et la ou les valeurs d’étiquette sélectionnés. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation d’Azure Defender pour serveurs (sous-plan « P1 ») pour toutes les ressources (niveau de ressource) comportant l’étiquette sélectionnée | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie active le plan Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) comportant le nom d’étiquette et la ou les valeurs d’étiquette sélectionnés. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation d’Azure Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (niveau de ressource) | Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie active le plan Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). | DeployIfNotExists, Désactivé | 1.0.0 |
Service Bus
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Toutes les règles d’autorisation, sauf RootManageSharedAccessKey, doivent être supprimées de l’espace de noms Service Bus | Les clients Service Bus ne doivent pas utiliser une stratégie d’accès au niveau de l’espace de noms qui donne accès à l’ensemble des files d’attente et rubriques d’un espace de noms. Pour respecter le modèle de sécurité basé sur le privilège minimum, vous devez créer des stratégies d’accès au niveau de l’entité pour les files d’attente et les rubriques afin de limiter l’accès à l’entité spécifique | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Service Bus espaces de noms doivent avoir des méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms Azure Service Bus imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-sb. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer les espaces de noms Azure Service Bus pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales pour que vos espaces de noms Azure Service Bus imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-sb. | Modifier, Désactivé | 1.0.1 |
| Configurer les espaces de noms Service Bus pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de noms Service Bus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des espaces de noms Service Bus avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de noms Service Bus, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les espaces de noms Service Bus doivent désactiver l’accès au réseau public | Azure Service Bus doit avoir l’accès au réseau public désactivé. La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Plus d’informations sur : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Refuser, Désactivé | 1.1.0 |
| Le chiffrement double doit être activé pour les espaces de noms Service Bus | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement | Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. | Audit, Désactivé | 1.0.0 |
Service Fabric
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
SignalR
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure SignalR Service doit désactiver l’accès réseau public | Pour améliorer la sécurité de la ressource Azure SignalR Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/asrs/networkacls. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 1.1.0 |
| Le service Azure SignalR Service doit activer les journaux de diagnostic | Auditer l’activation des journaux de diagnostic. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les méthodes d’authentification locales doivent être désactivées pour Azure SignalR Service | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir qu’Azure SignalR Service impose exclusivement des identités Azure Active Directory pour l’authentification. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser un SKU avec Private Link activé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique sur la source ou la destination, ce qui protège vos ressources contre les risques de fuite de données publiques. La stratégie vous oblige à utiliser un SKU avec Private Link activé pour Azure SignalR Service. Pour en savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Configurer Azure SignalR Service pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locale afin que votre instance Azure SignalR Service demande exclusivement les identités Azure Active Directory pour l’authentification. | Modifier, Désactivé | 1.0.0 |
| Configurer des points de terminaison privés sur Azure SignalR Service | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des ressources Azure SignalR Service, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous sur https://aka.ms/asrs/privatelink. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer : configurer des zones DNS privées pour les points de terminaison privés qui se connectent à Azure SignalR Service | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en ressource Azure SignalR Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/asrs/privatelink. | DeployIfNotExists, Désactivé | 1.0.0 |
| Modifier les ressources Azure SignalR Service pour désactiver l’accès réseau public | Pour améliorer la sécurité de la ressource Azure SignalR Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/asrs/networkacls. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Modifier, Désactivé | 1.1.0 |
Site Recovery
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Configurer des coffres Azure Recovery Services pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour les coffres Recovery Services Vaults. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des points de terminaison privés sur des coffres Azure Recovery Services | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés aux ressources de récupération de site des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Pour utiliser des liaisons privées, vous devez affecter l’identité MSI (Managed Service Identity) aux coffres Recovery Services. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Recovery Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. Découvrez plus en détail les liaisons privées pour Azure Site Recovery sur https://aka.ms/HybridScenarios-PrivateLink et https://aka.ms/AzureToAzure-PrivateLink. | Audit, Désactivé | 1.0.0-preview |
SQL
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Microsoft Entra doit être approvisionné pour les serveurs MySQL | Auditer l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur MySQL afin d’activer l’authentification Microsoft Entra. L’authentification Microsoft Entra permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.1.1 |
| Un administrateur Microsoft Entra doit être approvisionné pour les serveurs PostgreSQL | Auditer l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur PostgreSQL afin d’activer l’authentification Microsoft Entra. L’authentification Microsoft Entra permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.1 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le serveur flexible Azure MySQL doit avoir l’authentification Microsoft Entra uniquement activée | La désactivation des méthodes d’authentification locales et l’autorisation de l’authentification Microsoft Entra uniquement améliore la sécurité en garantissant que le serveur flexible Azure MySQL est accessible exclusivement par les identités Microsoft Entra. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database | Exiger que les serveurs logiques Azure SQL utilisent l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création de serveurs dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database lors de la création | Exiger que les serveurs logiques Azure SQL soient créés avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instance | Exiger qu’Azure SQL Managed Instance utilise l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’instances Azure SQL Managed dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur les instances managées Azure SQL améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. Pour en savoir plus sur l’accès au réseau public, consultez https://aka.ms/mi-public-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instances lors de la création | Exiger que Azure SQL Managed Instance soit créé avec l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs Azure Database for MariaDB | Activez la protection avancée contre les menaces sur vos serveurs Azure Database pour MariaDB de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs Azure Database pour MySQL | Activez la protection avancée contre les menaces sur vos serveurs Azure Database pour MySQL de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs Azure Database pour PostgreSQL | Activez la protection avancée contre les menaces sur vos serveurs Azure Database pour PostgreSQL de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer Azure Defender à activer sur les instances managées SQL | Activez Azure Defender sur vos instances managées Azure SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer Azure Defender à activer sur les serveurs SQL | Activez Azure Defender sur vos serveurs Azure SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | DeployIfNotExists | 2.1.0 |
| Configurer les paramètres de diagnostic des serveurs de base de données Azure SQL dans l’espace de travail Log Analytics | Active les journaux d’audit pour le serveur Azure SQL Database et transmet les journaux en continu à un espace de travail Log Analytics quand un serveur SQL Server auquel il manque cet audit est créé ou mis à jour. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer Azure SQL Server pour désactiver l’accès réseau public | La désactivation de la propriété d’accès au réseau public arrête la connectivité publique, de sorte qu’Azure SQL Server n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès au réseau public pour toutes les bases de données sous l’instance d’Azure SQL Server. | Modifier, Désactivé | 1.0.0 |
| Configurer Azure SQL Server pour activer des connexions de point de terminaison privé | Une connexion de point de terminaison privée permet une connectivité privée à votre instance Azure SQL Database via une adresse IP privée au sein d’un réseau virtuel. Cette configuration améliore votre posture de sécurité et prend en charge les outils et scénarios de mise en réseau d’Azure. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des serveurs SQL pour activer l’audit | Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les serveurs SQL. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | DeployIfNotExists, Désactivé | 3.0.0 |
| Configurer des serveurs SQL pour que l’audit soit activé pour l’espace de travail Log Analytics | Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les serveurs SQL. Si l’audit n’est pas activé, cette stratégie configure les événements d’audit à acheminer vers l’espace de travail Log Analytics spécifié. | DeployIfNotExists, Désactivé | 1.0.0 |
| La limitation de connexion doit être activée pour les serveurs de base de données PostgreSQL | Cette stratégie aide à auditer toutes les bases de données PostgreSQL de votre environnement sans activer la limitation de connexion. Ce paramètre active la limitation de connexion temporaire par adresse IP à la suite d’un trop grand nombre de connexions infructueuses avec des mots de passe non valides. | AuditIfNotExists, Désactivé | 1.0.0 |
| Déployer : configurer les paramètres de diagnostic pour les bases de données SQL pour l’envoi à un espace de travail Log Analytics | Déploie les paramètres de diagnostic pour des bases de données SQL afin de diffuser les journaux de ressources vers un espace de travail Log Analytics en cas de création ou de mise à jour de toute base de données SQL n’ayant pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 4.0.0 |
| Déployer Advanced Data Security sur des serveurs SQL | Cette stratégie active Advanced Data Security sur les serveurs SQL. (ce qui entraîne l’activation de la détection des menaces et de l’évaluation des vulnérabilités). Elle crée automatiquement un compte de stockage dans la même région et le même groupe de ressources que le serveur SQL pour stocker les résultats de l’analyse, avec le préfixe « sqlva ». | DeployIfNotExists | 1.3.0 |
| Déployer les paramètres de diagnostic d’Azure SQL Database sur Event Hub | Déploie les paramètres de diagnostic d’Azure SQL Database pour les envoyer en streaming dans un hub d’événements régional sur une base de données Azure SQL nouvelle ou mise à jour pour laquelle les paramètres de diagnostic sont manquants. | DeployIfNotExists | 1.2.0 |
| Déployer le chiffrement transparent des données sur les bases de données SQL | Active Transparent Data Encryption sur les bases de données SQL | DeployIfNotExists, Désactivé | 2.2.0 |
| Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. | Audit, Refuser, Désactivé | 1.0.0 |
| Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL | Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 | Audit, Refuser, Désactivé | 1.0.0 |
| Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections. | AuditIfNotExists, Désactivé | 1.0.0 |
| La durée de journal doit être activée pour les serveurs de bases de données PostgreSQL | Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_duration. | AuditIfNotExists, Désactivé | 1.0.0 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
| Le serveur MariaDB doit utiliser un point de terminaison de service de réseau virtuel | Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database for MariaDB tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database for MariaDB utilise actuellement un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le serveur MySQL doit utiliser un point de terminaison de service de réseau virtuel | Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database pour MySQL tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database pour MySQL utilise actuellement un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Le serveur PostgreSQL doit utiliser un point de terminaison de service de réseau virtuel | Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database pour PostgreSQL tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database pour PostgreSQL utilise actuellement un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs flexibles MySQL | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour MySQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs flexibles PostgreSQL | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour PostgreSQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 3.0.1 |
| L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
| Les paramètres d’audit SQL doivent avoir des groupes d’actions configurés pour capturer les activités critiques | La propriété AuditActionsAndGroups doit contenir au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP pour assurer la journalisation totale de l’audit | AuditIfNotExists, Désactivé | 1.0.0 |
| SQL Database doit éviter d’utiliser la redondance de sauvegarde GRS | Les bases de données doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. | Deny, Disabled | 2.0.0 |
| SQL Managed Instance doit avoir la version TLS minimale 1.2 | La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance n’est accessible qu’à partir des clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé | 1.0.1 |
| Les instances managées SQL doivent éviter d’utiliser la redondance de sauvegarde GRS | Les instances managées doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. | Deny, Disabled | 2.0.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| La règle de pare-feu de réseau virtuel sur Azure SQL Database doit être activée pour autoriser le trafic à partir du sous-réseau spécifié | Les règles de pare-feu basées sur un réseau virtuel autorisent le trafic à partir d’un sous-réseau spécifique vers Azure SQL Database tout en veillant à ce que ce trafic reste dans la limite Azure. | AuditIfNotExists | 1.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
SQL Managed Instance
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le chiffrement de clé gérée par le client doit être utilisé dans le cadre du chiffrement CMK pour les instances gérées Arc SQL. | Dans le cadre du chiffrement CMK, le chiffrement par clé gérée par le client doit être utilisé. Pour en savoir plus, rendez-vous sur https://aka.ms/EnableTDEArcSQLMI. | Audit, Désactivé | 1.0.0 |
| Le protocole TLS 1.2 doit être utilisé pour les instances gérées Arc SQL. | Pour les paramètres réseau, Microsoft recommande d’autoriser uniquement TLS 1.2 pour les protocoles TLS dans les serveurs SQL Server. Pour en savoir plus sur les paramètres réseau pour SQL Server, consultez https://aka.ms/TlsSettingsSQLServer. | Audit, Désactivé | 1.0.0 |
| Transparent Data Encryption doit être activé pour les instances gérées Arc SQL. | Activez le chiffrement transparent des données au repos dans une instance gérée SQL avec Azure Arc. Pour en savoir plus, rendez-vous sur https://aka.ms/EnableTDEArcSQLMI. | Audit, Désactivé | 1.0.0 |
SQL Server
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : activer l’identité affectée par le système sur une machine virtuelle SQL | Activez l’identité affectée par le système à grande échelle aux machines virtuelles SQL. Vous devez affecter cette stratégie au niveau de l’abonnement. L’affectation au niveau du groupe de ressources ne fonctionnera pas comme prévu. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| Configurez des serveurs compatibles avec Arc avec l’extension SQL Server installée pour activer ou désactiver l’évaluation des meilleures pratiques SQL | Activez ou désactivez l’évaluation des meilleures pratiques SQL sur les instances SQL Server de vos serveurs compatibles avec Arc pour évaluer les meilleures pratiques. Pour en savoir plus, rendez-vous sur https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Désactivé | 1.0.1 |
| Abonnez les instances SQL Server avec Arc éligibles aux mises à jour de sécurité étendues. | Abonnez les instances SQL Server avec Arc éligibles avec le type de licence défini sur Payé ou PAYG aux mises à jour de sécurité étendues. Plus d’informations sur les mises à jour de sécurité étendue https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Désactivé | 1.0.0 |
Stack HCI
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les serveurs Azure Stack HCI devraient avoir des politiques de contrôle des applications appliquées de manière cohérente | Au minimum, appliquez la stratégie de base Microsoft WDAC en mode appliqué sur tous les serveurs Azure Stack HCI. Les stratégies appliquées par Windows Defender Application Control (WDAC) doivent être cohérentes entre les serveurs d'un même cluster. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : Les serveurs Azure Stack HCI doivent répondre aux exigences de base sécurisée | Assurez-vous que tous les serveurs Azure Stack HCI répondent aux exigences de base sécurisée. Pour activer la configuration requise pour le serveur principal sécurisé : 1. Sur la page des clusters Azure Stack HCI, accédez à Windows Admin Center, puis sélectionnez Se connecter. 2. Accédez à l’extension de sécurité et sélectionnez Secured-core. 3. Sélectionnez un paramètre qui n’est pas activé, puis cliquez sur Activer. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : Les systèmes Azure Stack HCI doivent disposer de volumes chiffrés | Utilisez BitLocker pour chiffrer le système d'exploitation et les volumes de données sur les systèmes Azure Stack HCI. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : Le réseau des hôtes et des machines virtuelles doit être protégé sur les systèmes Azure Stack HCI | Protégez les données sur le réseau de l'hôte Azure Stack HCI et sur les connexions réseau des machines virtuelles. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
Stockage
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure NetApp Files volumes SMB doivent utiliser le chiffrement SMB3 | Interdire la création de volumes SMB sans chiffrement SMB3 pour garantir l’intégrité des données et la confidentialité des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure NetApp Files volumes de type NFSv4.1 doivent utiliser le chiffrement des données Kerberos | Autorisez uniquement l’utilisation du mode de sécurité de confidentialité Kerberos (5p) pour garantir le chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure NetApp Files volumes de type NFSv4.1 doivent utiliser l’intégrité des données Kerberos ou la confidentialité des données | Assurez-vous qu’au moins l’intégrité Kerberos (krb5i) ou la confidentialité Kerberos (krb5p) est sélectionnée pour garantir l’intégrité des données et la confidentialité des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Les volumes Azure NetApp Files ne doivent pas utiliser le type de protocole NFSv3 | Interdisez l’utilisation du type de protocole NFSv3 pour empêcher l’accès non sécurisé aux volumes. NFSv 4.1 avec le protocole Kerberos doit être utilisé pour accéder aux volumes NFS afin de garantir l’intégrité et le chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe d’objets blob | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe d’objets blob. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe blob_secondary | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe blob_secondary. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe dfs | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe dfs. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe dfs_secondary | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe dfs_secondary. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe de fichiers | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe de fichiers. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe de files d’attente | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe de files d’attente. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe queue_secondary | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe queue_secondary. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe de tables | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe de tables. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe table_secondary | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe table_secondary. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe web | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe web. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un ID de zone DNS privée pour l’ID de groupe web_secondary | Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe web_secondary. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure File Sync pour utiliser des zones DNS privées | Pour accéder au ou aux points de terminaison privés pour les interfaces de ressource du service de synchronisation du stockage à partir d’un serveur inscrit, vous devez configurer votre DNS pour qu’il résolve les noms corrects des adresses IP privées de votre point de terminaison privé. Cette stratégie crée la zone de DNS privé Azure requise et les enregistrements A pour les interfaces de vos points de terminaison privés pour le service de synchronisation de stockage. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer Azure File Sync avec des points de terminaison privés | Un point de terminaison privé est déployé pour la ressource de service de synchronisation de stockage indiquée. Cela vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. L’existence d’un ou plusieurs points de terminaison privés ne désactive pas le point de terminaison public. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres de diagnostic des services BLOB vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services BLOB pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service BLOB nouveau ou mis à jour n'a pas ces paramètres de diagnostic. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurer les paramètres de diagnostic des services de fichiers vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de fichier pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service de fichier nouveau ou mis à jour n'a pas ces paramètres de diagnostic. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurer les paramètres de diagnostic des services de File d’attente vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de File d'attente pour diffuser en continu des journaux vers un espace de travail Log Analytics quand un service de File d'attente nouveau ou mis à jour n'a pas ces paramètres de diagnostic. Remarque : Cette stratégie n’est pas déclenchée lors de la création du compte de stockage et nécessite la création d’une tâche de correction pour effectuer la mise à jour du compte. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurer les paramètres de diagnostic de comptes de stockage dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des comptes de stockage pour diffuser en continu des journaux à un espace de travail Log Analytics quand n’importe quel compte de stockage nouveau ou mis à jour n'a pas ces paramètres de diagnostic. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurer les paramètres de diagnostic des services de table vers l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de table pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service de table nouveau ou mis à jour n'a pas ces paramètres de diagnostic. Remarque : Cette stratégie n’est pas déclenchée lors de la création du compte de stockage et nécessite la création d’une tâche de correction pour effectuer la mise à jour du compte. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurer le transfert sécurisé de données sur un compte de stockage | L’option de sécurisation du transfert oblige le compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Modifier, Désactivé | 1.0.0 |
| Configurer le compte de stockage pour utiliser une connexion de liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte de stockage, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les comptes de stockage pour désactiver l’accès réseau public | Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Modifier, Désactivé | 1.0.1 |
| Configurer l’accès public de votre compte de stockage pour qu’il ne soit pas autorisé | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | Modifier, Désactivé | 1.0.0 |
| Configurez l’activation du contrôle de version des objets blob pour votre compte de stockage | Vous pouvez activer le contrôle de version du stockage d’objets blob pour gérer automatiquement les versions précédentes d’un objet. Lorsque le contrôle de version blob est activé, vous pouvez accéder aux versions antérieures d’un objet blob pour récupérer vos données en cas de modification ou de suppression. | Audit, Refuser, Désactivé | 1.0.0 |
| Déployer Defender pour le stockage (Classique) sur des comptes de stockage | Cette stratégie active Defender pour le stockage (classique) sur les comptes de stockage. | DeployIfNotExists, Désactivé | 1.0.1 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement | Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Désactivé, Refus | 2.0.0 |
| Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public | Le point de terminaison public accessible sur Internet d’Azure File Sync est désactivé par la stratégie de votre organisation. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. | Modifier, Désactivé | 1.0.0 |
| Modifier – Configurez l’activation du contrôle de version des objets blob pour votre compte de stockage | Vous pouvez activer le contrôle de version du stockage d’objets blob pour gérer automatiquement les versions précédentes d’un objet. Lorsque le contrôle de version blob est activé, vous pouvez accéder aux versions antérieures d’un objet blob pour récupérer vos données en cas de modification ou de suppression. Notez que les comptes de stockage existants ne seront pas modifiés pour activer le contrôle de version du stockage Blob. Seuls les comptes de stockage nouvellement créés disposeront du contrôle de version du stockage Blob activé | Modifier, Désactivé | 1.0.0 |
| L’accès au réseau public doit être désactivé pour Azure File Sync | La désactivation du point de terminaison public vous permet de restreindre l’accès à votre ressource de service de synchronisation de stockage aux requêtes destinées à des points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public pour un service de synchronisation de stockage en définissant incomingTrafficPolicy pour la ressource sur AllowVirtualNetworksOnly. | Audit, Refuser, Désactivé | 1.0.0 |
| Le stockage file d’attente doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre stockage de file d’attente avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Refuser, Désactivé | 1.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. | Audit, Refuser, Désactivé | 1.0.0 |
| Les étendues de chiffrement de compte de stockage doivent utiliser le chiffrement double pour les données au repos | Activez le chiffrement d’infrastructure pour le chiffrement au repos de vos étendues de chiffrement de compte de stockage afin de renforcer la sécurité. Le chiffrement d’infrastructure garantit que vos données sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clés de compte de stockage ne doivent pas être expirées | Assurez-vous que les clés de compte de stockage utilisateur ne sont pas expirées quand la stratégie d’expiration de clé est définie pour améliorer la sécurité des clés de compte en intervenant quand les clés sont expirées. | Audit, Refuser, Désactivé | 3.0.0 |
| Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent être limités en fonction des références SKU autorisées | Limitez l’ensemble des références SKU de compte de stockage que votre organisation peut déployer. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent désactiver l’accès au réseau public | Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir des stratégies de signature d’accès partagé (SAP) configurées | Vérifiez que la stratégie d’expiration des signatures d’accès partagé (SAP) est activée pour les comptes de stockage. Les utilisateurs utilisent une signature d’accès partagé pour déléguer l’accès aux ressources dans un compte de stockage Azure. Et la stratégie d’expiration de signature d’accès partagé recommande une limite d’expiration supérieure quand un utilisateur crée un jeton SAP. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent avoir la version TLS minimale spécifiée | Configurez une version TLS minimale pour sécuriser la communication entre l’application cliente et le compte de stockage. Pour réduire le risque de sécurité, la version minimale recommandée de TLS est la dernière version publiée, qui est actuellement TLS 1.2. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher la réplication d’objets inter-locataires | Auditez la restriction de la réplication d’objets pour votre compte de stockage. Par défaut, les utilisateurs peuvent configurer la réplication d’objets avec un compte de stockage source dans un locataire Azure AD et un compte de destination dans un autre locataire. Il s’agit d’un problème de sécurité, car les données du client peuvent être répliquées vers un compte de stockage détenu par le client. En affectant à allowCrossTenantReplication la valeur false, la réplication d’objets peut être configurée uniquement si les comptes source et de destination se trouvent dans le même locataire Azure AD. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher l’accès à la clé partagée | Exigence d’audit d’Azure AD (Azure Active Directory) pour autoriser les requêtes pour votre compte de stockage. Par défaut, les requêtes peuvent être autorisées soit avec des informations d’identification Azure Active Directory, soit à l’aide de la clé d’accès au compte pour l’autorisation avec clé partagée. Entre ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| Le stockage table doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre stockage de table avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Refuser, Désactivé | 1.0.0 |
Stream Analytics
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| La tâche Stream Analytics doit se connecter aux entrées et sorties approuvées | Assurez-vous que les travaux Stream Analytics n’ont pas de connexions d’entrée ou de sortie arbitraires qui ne sont pas définies dans la liste verte. Cela permet de vérifier que les travaux Stream Analytics n’exfiltrent pas les données en se connectant à des récepteurs arbitraires en dehors de votre organisation. | Refuser, Désactivé, Audit | 1.1.0 |
| Le travail de Stream Analytics doit utiliser l'identité gérée pour authentifier les points d'extrémité | Veillez à ce que les tâches de Stream Analytics ne se connectent qu'à des points d'extrémité utilisant l'authentification d'identité gérée. | Refuser, Désactivé, Audit | 1.0.0 |
Synapse
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| L’audit sur l’espace de travail Synapse doit être activé | L’audit de votre espace de travail Synapse doit être activé pour suivre les activités de base de données à travers toutes les bases de données des pools SQL dédiés et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les pools SQL dédiés Azure Synapse Analytics doivent autoriser le chiffrement | Activez le chiffrement transparent des données pour les pools SQL dédiés Azure Synapse Analytics afin de protéger les données au repos et de répondre aux exigences de conformité. Notez que l’activation du chiffrement transparent des données pour le pool peut avoir un impact sur les performances des requêtes. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Désactivé | 1.0.0 |
| Le serveur SQL de l’espace de travail Azure Synapse doit exécuter TLS version 1.2 ou une version plus récente | La définition de 1.2 ou d’une version ultérieure comme version de TLS améliore la sécurité en garantissant que le serveur SQL de l’espace de travail Azure Synapse n’est accessible qu’à partir de clients utilisant TLS 1.2 ou une version plus récente. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Refuser, Désactivé | 1.1.0 |
| Les espaces de travail Azure Synapse doivent autoriser le trafic de données sortant uniquement vers les cibles approuvées | Augmentez la sécurité de votre espace de travail Synapse en autorisant le trafic de données sortant uniquement vers les cibles approuvées. Cela permet de prévenir l’exfiltration de données en validant la cible avant d’envoyer des données. | Audit, Désactivé, Refus | 1.0.0 |
| Les espaces de travail Azure Synapse doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que l’espace de travail Synapse ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos espaces de travail Synapse. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
| Configurer la version TLS minimale avec SQL dédié de l’espace de travail Azure Synapse | Les clients peuvent augmenter ou diminuer la version minimale de TLS en utilisant l’API, aussi bien pour les nouveaux espaces de travail Synapse que pour les espaces de travail existants. Ainsi, les utilisateurs qui doivent utiliser une version du client antérieure dans les espaces de travail peuvent se connecter, tandis que les utilisateurs qui ont des exigences de sécurité peuvent augmenter la version TLS minimale. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modifier, Désactivé | 1.1.0 |
| Configurer les espaces de travail Azure Synapse pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour votre espace de travail Synapse afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modifier, Désactivé | 1.0.0 |
| Configurer les espaces de travail Azure Synapse pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espace de travail Azure Synapse. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer les espaces de travail Azure Synapse avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de travail Azure Synapse, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les espaces de travail Synapse pour activer l’audit | Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les espaces de travail Synapse. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer des espaces de travail Synapse pour que l’audit soit activé pour l’espace de travail Log Analytics | Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les espaces de travail Synapse. Si l’audit n’est pas activé, cette stratégie configure les événements d’audit à acheminer vers l’espace de travail Log Analytics spécifié. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les espaces de travail Synapse pour utiliser uniquement des identités Microsoft Entra pour l’authentification | Exigez que les espaces de travail Synapse utilise l'authentification Microsoft Entra uniquement et reconfigurez-les. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée et réactive l’authentification Microsoft Entra uniquement sur les ressources après la création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Modifier, Désactivé | 1.0.0 |
| Configurez les espaces de travail Synapse afin d’utiliser uniquement les identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail | Exigez que les espaces de travail Synapse soient créés avec l'authentification Microsoft Entra uniquement et reconfigurez-les. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Modifier, Désactivé | 1.2.0 |
| Les règles de pare-feu IP sur les espaces de travail Azure Synapse doivent être supprimées | La suppression de toutes les règles de pare-feu IP renforce la sécurité en garantissant que votre espace de travail Azure Synapse est accessible uniquement à partir d’un point de terminaison privé. Cette configuration audite la création de règles de pare-feu qui autorisent l’accès au réseau public sur l’espace de travail. | Audit, Désactivé | 1.0.0 |
| Un réseau virtuel d’espace de travail managé sur les espaces de travail Azure Synapse doit être activé | L’activation d’un réseau virtuel d’espace de travail managé garantit que le réseau de votre espace de travail est isolé de celui des autres espaces de travail. L’intégration de données et les ressources Spark déployées dans ce réseau virtuel fournissent également l’isolation de niveau utilisateur pour les activités Spark. | Audit, Refuser, Désactivé | 1.0.0 |
| Les points de terminaison privés managés Synapse doivent uniquement se connecter aux ressources de locataires Azure Active Directory approuvés | Protégez votre espace de travail Synapse en autorisant uniquement les connexions aux ressources de locataires Azure Active Directory (Azure AD) approuvés. Les locataires Azure AD approuvés peuvent être définis lors de l’attribution de stratégie. | Audit, Désactivé, Refus | 1.0.0 |
| Les paramètres d’audit d’espace de travail Synapse doivent avoir des groupes d’actions configurés pour capturer les activités critiques | Pour vous assurer que vos journaux d’audit sont aussi complets que possible, la propriété AuditActionsAndGroups doit inclure tous les groupes appropriés. Nous vous recommandons d’ajouter au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP et BATCH_COMPLETED_GROUP. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour les espaces de travail Synapse | Exiger que les espaces de travail Synapse utilise l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de travail Synapse doivent utiliser uniquement les identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail | Exiger que les espaces de travail Synapse soient créés avec l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Audit, Refuser, Désactivé | 1.2.0 |
| Les espaces de travail Synapse avec l’audit SQL dans la destination du compte de stockage doivent être configurés avec une conservation d’au moins 90 jours | À des fins d’enquête sur l’incident, nous vous recommandons de définir la conservation des données pour l’audit SQL de votre espace de travail Synapse dans la destination du compte de stockage sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse | Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. | AuditIfNotExists, Désactivé | 1.0.0 |
Stratégie système
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Régions de déploiement des ressources autorisées | Cette stratégie maintient un ensemble des meilleures régions disponibles dans lesquelles votre abonnement peut déployer des ressources. L’objectif de cette stratégie consiste à veiller à ce que votre abonnement dispose d’un accès complet aux services Azure avec des performances optimales. Si vous devez ajouter d’autres régions ou des régions différentes, contactez l’équipe de support. | deny | 1.0.0 |
Balises
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une étiquette aux groupes de ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe de ressources auquel cette étiquette manque. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
| Ajouter une étiquette aux ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. Ne modifie pas les balises sur les groupes de ressources. | modify | 1.0.0 |
| Ajouter une étiquette aux abonnements | Ajoute l’étiquette et la valeur spécifiées aux abonnements par le biais d’une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. Consultez https://aka.ms/azurepolicyremediation pour plus d’informations sur la correction d’une stratégie. | modify | 1.0.0 |
| Ajouter ou remplacer une étiquette sur des groupes de ressources | Ajoute ou remplace l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe de ressources. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. | modify | 1.0.0 |
| Ajouter ou remplacer une étiquette dans les ressources | Ajoute ou remplace l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’une ressource. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Ne modifie pas les balises sur les groupes de ressources. | modify | 1.0.0 |
| Ajouter ou remplacer une étiquette dans les abonnements | Ajoute ou remplace l’étiquette et la valeur spécifiées sur des abonnements par le biais d’une tâche de correction. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. Consultez https://aka.ms/azurepolicyremediation pour plus d’informations sur la correction d’une stratégie. | modify | 1.0.0 |
| Ajouter une étiquette et sa valeur à partir du groupe de ressources | Ajoute l’étiquette indiquée avec sa valeur du groupe de ressources lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Ne modifie pas les étiquettes des ressources créées avant l’application de cette stratégie, tant que ces ressources ne sont pas modifiées. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.0 |
| Ajouter une étiquette et sa valeur aux groupes de ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe ressource auquel cette étiquette manque. Ne modifie pas les étiquettes des groupes de ressources créés avant l’application de cette stratégie, tant que ces groupes de ressources ne sont pas modifiés. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.0 |
| Ajouter une étiquette et sa valeur aux ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Ne modifie pas les étiquettes des ressources créées avant l’application de cette stratégie, tant que ces ressources ne sont pas modifiées. Ne s’applique pas aux groupes de ressources. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.1 |
| Hériter d’une étiquette du groupe de ressources | Ajoute ou remplace l’étiquette et la valeur indiquées du groupe de ressources parent lors de la création ou de la mise à jour d’une ressource. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. | modify | 1.0.0 |
| Hériter d’une étiquette du groupe de ressources en cas d’absence | Ajoute l’étiquette indiquée avec sa valeur du groupe de ressources parent lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
| Hériter une étiquette de l’abonnement | Ajoute ou remplace l’étiquette spécifiée et sa valeur de l’abonnement conteneur lors de la création ou de la mise à jour d’une ressource. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. | modify | 1.0.0 |
| Hériter une étiquette de l’abonnement si elle est manquante | Ajoute l’étiquette spécifiée avec sa valeur de l’abonnement conteneur lors de la création ou de la mise à jour d’une ressource qui n’a pas cette étiquette. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
| Exiger une étiquette et sa valeur sur les groupes de ressources | Applique une étiquette obligatoire avec sa valeur aux groupes de ressources. | deny | 1.0.0 |
| Exiger une étiquette et sa valeur sur les ressources | Applique une balise requise et sa valeur. Ne s’applique pas aux groupes de ressources. | deny | 1.0.1 |
| Exiger une étiquette sur les groupes de ressources | Applique l’existence d’une étiquette sur des groupes de ressources. | deny | 1.0.0 |
| Exiger une étiquette sur les ressources | Applique l’existence d’une étiquette. Ne s’applique pas aux groupes de ressources. | deny | 1.0.1 |
| Nécessite que les ressources n’aient pas une étiquette spécifique. | Refuse la création d’une ressource contenant l’étiquette donnée. Ne s’applique pas aux groupes de ressources. | Audit, Refuser, Désactivé | 2.0.0 |
Lancement fiable
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les disques et image de système d’exploitation doivent prendre en charge TrustedLaunch | TrustedLaunch améliore la sécurité d’une machine virtuelle qui exige qu’un disque de système d’exploitation et qu’une image de système d’exploitation le prennent en charge (Gen 2). Pour obtenir plus d’informations sur TrustedLaunch, visiter https://aka.ms/trustedlaunch | Audit, Désactivé | 1.0.0 |
| TrustedLaunch doit être activé sur une machine virtuelle | Activez TrustedLaunch sur une machine virtuelle pour renforcer la sécurité, utilisez une référence SKU de machine virtuelle (Gen 2) qui prend en charge TrustedLaunch. Pour obtenir plus d’informations sur TrustedLaunch, visiter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Désactivé | 1.0.0 |
VirtualEnclaves
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Configurez des comptes de stockage pour limiter l’accès au réseau via une configuration de contournement d’ACL réseau uniquement. | Pour améliorer la sécurité de comptes de stockage, activez l’accès uniquement via un contournement d’ACL réseau. Vous pouvez utiliser cette stratégie en combinaison avec un point de terminaison privé pour l’accès à un compte de stockage. | Modifier, Désactivé | 1.0.0 |
| Ne pas autoriser la création de types de ressources en dehors de la liste d’autorisation | Cette stratégie empêche le déploiement de types de ressources en dehors des types explicitement autorisés, afin de maintenir la sécurité dans une enclave virtuelle. https://aka.ms/VirtualEnclaves | Audit, Refuser, Désactivé | 1.0.0 |
| Ne pas autoriser la création de types de ressources ou de types spécifiés sous des fournisseurs spécifiques | Les fournisseurs de ressources et les types spécifiés via la liste de paramètres ne sont pas autorisés à être créés sans approbation explicite de l’équipe de sécurité. Si une exemption est accordée à l’attribution de stratégie, la ressource peut être exploitée au sein de l’enclave. https://aka.ms/VirtualEnclaves | Audit, Refuser, Désactivé | 1.0.0 |
| Les interfaces réseau doivent être connectées à un sous-réseau approuvé du réseau virtuel approuvé | Cette stratégie empêche les interfaces réseau de se connecter à un réseau virtuel ou à un sous-réseau qui n’est pas approuvé. https://aka.ms/VirtualEnclaves | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent limiter l’accès au réseau via une configuration de contournement d’ACL réseau uniquement. | Pour améliorer la sécurité de comptes de stockage, activez l’accès uniquement via un contournement d’ACL réseau. Vous pouvez utiliser cette stratégie en combinaison avec un point de terminaison privé pour l’accès à un compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
Générateur d’images de machine virtuelle
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Web PubSub
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le service Azure Web PubSub doit désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le service Azure Web PubSub ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service Azure Web PubSub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/awps/networkacls. | Audit, Refuser, Désactivé | 1.0.0 |
| Le service Azure Web PubSub doit activer les journaux de diagnostic | Auditer l’activation des journaux de diagnostic. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les méthodes d’authentification locale doivent être désactivées pour le service Azure Web PubSub | La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que le service Azure Web PubSub nécessite exclusivement des identités Azure Active Directory pour l’authentification. | Audit, Refuser, Désactivé | 1.0.0 |
| Le service Azure Web PubSub doit utiliser une référence SKU qui prend en charge la liaison privée | Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés au service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Le service Azure Web PubSub doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | Audit, Désactivé | 1.0.0 |
| Configurer le service Azure Web PubSub Service pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locale afin que le service Azure Web PubSub nécessite exclusivement des identités Azure Active Directory pour l’authentification. | Modifier, Désactivé | 1.0.0 |
| Configurer le service Azure Web PubSub pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour votre ressource Azure Web PubSub afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/awps/networkacls. | Modifier, Désactivé | 1.0.0 |
| Configurer le service Azure Web PubSub pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour le service Azure Web PubSub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/awps/privatelink. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer le service Azure Web PubSub avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés au service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink. | DeployIfNotExists, Désactivé | 1.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.