Définitions intégrées d’Azure Policy pour Réseau virtuel Azure
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Azure Virtual Network. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Réseau virtuel Azure
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0-preview |
Une stratégie IPsec/IKE personnalisée doit être appliquée à toutes les connexions de passerelle de réseau virtuel Azure | Cette stratégie garantit que toutes les connexions de passerelle de réseau virtuel Azure utilisent une stratégie IPsec (Internet Protocol Security)/IKE (Internet Key Exchange). Algorithmes et forces de clé pris en charge - https://aka.ms/AA62kb0 | Audit, Désactivé | 1.0.0 |
Toutes les ressources du journal de flux doivent être en état activé | Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel | Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Désactivé | 2.0.1 |
Auditer la configuration des journaux de flux pour chaque réseau virtuel | Auditez le réseau virtuel pour vérifier si les journaux de flux sont configurés. L’activation des journaux de flux permet de journaliser des informations sur le trafic IP transitant par le réseau virtuel. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.0.1 |
Azure Application Gateway doit être déployé avec Azure WAF | Nécessite le déploiement de ressources Azure Application Gateway avec Azure WAF. | Audit, Refuser, Désactivé | 1.0.0 |
Les règles classiques du Pare-feu Azure doivent être migrées vers le Pare-feu Policy | Migrez des règles classiques du Pare-feu Azure vers le Pare-feu Policy pour utiliser des outils de gestion centraux tels qu’Azure Firewall Manager. | Audit, Refuser, Désactivé | 1.0.0 |
L’Analyse du Pare-feu Azure Policy doit être activée | L’activation de l’Analyse Policy offre une visibilité accrue sur le trafic transitant par le Pare-feu Azure, ce qui permet d’optimiser la configuration de votre pare-feu sans affecter les performances de votre application. | Audit, Désactivé | 1.0.0 |
La Veille des menaces doit être activée sur le Pare-feu Azure Policy | Le filtrage basé sur Threat Intelligence peut être activé pour votre pare-feu pour donner l’alerte et rejeter le trafic depuis ou vers des adresses IP et des domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence. | Audit, Refuser, Désactivé | 1.0.0 |
Le proxy DNS doit être activé sur le Pare-feu Azure Policy | L’activation du proxy DNS associe le Pare-feu Azure à cette stratégie pour écouter le port 53 et transférer les requêtes DNS au serveur DNS spécifié. | Audit, Désactivé | 1.0.0 |
Le Pare-feu Azure doit être déployé pour couvrir plusieurs zones de disponibilité | Pour améliorer la disponibilité, nous vous conseillons de déployer votre Pare-feu Azure de façon à ce qu’il couvre plusieurs zones de disponibilité. Cela garantit que votre Pare-feu Azure reste opérationnel en cas de défaillance de zone. | Audit, Refuser, Désactivé | 1.0.0 |
Veille des menaces doit être activé via les règles classiques du Pare-feu Azure Standard | Le filtrage basé sur Threat Intelligence peut être activé pour votre pare-feu pour donner l’alerte et rejeter le trafic depuis ou vers des adresses IP et des domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence. | Audit, Refuser, Désactivé | 1.0.0 |
Le Pare-feu Azure Standard doit être mis à niveau vers Premium pour une protection de pointe | Si vous recherchez une protection de pointe comme l’inspection IDPS et TLS, envisagez de mettre à niveau votre Pare-feu Azure vers la référence SKU Premium. | Audit, Refuser, Désactivé | 1.0.0 |
Les passerelles VPN Azure ne doivent pas utiliser la référence SKU « de base » | Cette stratégie garantit que les passerelles VPN n’utilisent pas de référence SKU « de base ». | Audit, Désactivé | 1.0.0 |
L’inspection du corps de la demande doit être activée pour Azure Web Application Firewall sur Azure Application Gateway | Vérifiez que l’inspection du corps de la demande est activée pour les instances Web Application Firewall associées à des instances Azure Application Gateway. Cela permet au WAF d’inspecter les propriétés dans le corps HTTP qui peuvent ne pas être évaluées dans les en-têtes HTTP, les cookies ou l’URI. | Audit, Refuser, Désactivé | 1.0.0 |
L’inspection du corps de la demande doit être activée pour Azure Web Application Firewall sur Azure Front Door | Vérifiez que l’inspection du corps de la demande est activée pour les instances Web Application Firewall associées à Azure Front Door. Cela permet au WAF d’inspecter les propriétés dans le corps HTTP qui peuvent ne pas être évaluées dans les en-têtes HTTP, les cookies ou l’URI. | Audit, Refuser, Désactivé | 1.0.0 |
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
Protection bot doit être activée pour WAF Azure Application Gateway | Cette stratégie garantit que la protection bot est activée dans toutes les stratégies de pare-feu d’applications web (WAF) Azure Application Gateway | Audit, Refuser, Désactivé | 1.0.0 |
Protection bot doit être activée pour WAF Azure Front Door | Cette stratégie garantit que la protection bot est activée dans toutes les stratégies de pare-feu d’applications web (WAF) Azure Front Door | Audit, Refuser, Désactivé | 1.0.0 |
Configurer les paramètres de diagnostic pour les groupes de sécurité réseau Azure dans l’espace de travail Log Analytics | Déployez les paramètres de diagnostic dans des groupes de sécurité réseau Azure afin de diffuser les journaux de ressources vers un espace de travail Log Analytics. | DeployIfNotExists, Désactivé | 1.0.0 |
Configurer les groupes de sécurité réseau pour activer Traffic Analytics | Vous pouvez activer Traffic Analytics pour tous les groupes de sécurité réseau hébergés dans une région particulière avec les paramètres fournis durant la création de la stratégie. Si Traffic Analytics est déjà activé, la stratégie ne remplace pas ses paramètres. Les journaux de flux sont également activés pour les groupes de sécurité réseau qui n’en disposent pas. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.2.0 |
Configurer des groupes de sécurité réseau pour utiliser un espace de travail, un compte de stockage et une stratégie de rétention de flux spécifiques pour l’analyse du trafic | Si Traffic Analytics est déjà activé, la stratégie remplace ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.2.0 |
Configurer un réseau virtuel pour activer le journal de flux et Traffic Analytics | Traffic Analytics et les journaux de flux peuvent être activés pour tous les réseaux virtuels hébergés dans une région particulière, avec les paramètres fournis lors de la création de la stratégie. Cette stratégie ne remplace pas le paramètre actuel pour les réseaux virtuels qui ont déjà cette fonctionnalité activée. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.1.1 |
Configurer des réseaux virtuels pour appliquer un espace de travail, un compte de stockage et un intervalle de rétention pour les journaux de flux et Traffic Analytics | Si un réseau virtuel a déjà activé Traffic Analytics, la stratégie remplace alors ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. | DeployIfNotExists, Désactivé | 1.1.2 |
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
Déployer une ressource de journal de flux avec un groupe de sécurité réseau cible | Configure le journal de flux pour un groupe de sécurité réseau spécifique. Il permettra à de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. | deployIfNotExists | 1.1.0 |
Déployer une ressource de journal de flux avec un réseau virtuel cible | Configure le journal de flux pour un réseau virtuel spécifique. Cela permet de journaliser des informations sur le trafic IP transitant par un réseau virtuel. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. | DeployIfNotExists, Désactivé | 1.1.1 |
Déployer Network Watcher lors de la création de réseaux virtuels | Cette stratégie crée une ressource Network Watcher dans des régions avec des réseaux virtuels. Vous devez vérifier l’existence d’un groupe de ressources nommé networkWatcherRG, qui sert à déployer des instances de Network Watcher. | DeployIfNotExists | 1.0.0 |
Activer la règle de limitation du débit pour se protéger contre les attaques DDoS sur Azure Front Door WAF | La règle de limitation du débit du pare-feu d’applications web (WAF) Azure pour Azure Front Door contrôle le nombre de requêtes autorisées à partir d’une adresse IP cliente particulière à l’application pendant une durée de limitation du débit. | Audit, Refuser, Désactivé | 1.0.0 |
Event Hub doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | Audit, Désactivé | 1.1.0 |
Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau | Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. | deny | 1.0.0 |
Key Vault doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
Migrer WAF de la configuration WAF vers la stratégie WAF sur Application Gateway | Si vous avez une configuration WAF au lieu d’une stratégie WAF, vous pouvez passer à la nouvelle stratégie WAF. À l’avenir, la stratégie de pare-feu prendra en charge les paramètres de stratégie WAF, les ensembles de règles managés, les exclusions et les groupes de règles désactivés. | Audit, Refuser, Désactivé | 1.0.0 |
Les interfaces réseau doivent désactiver le transfert IP | Cette stratégie refuse les interfaces réseau qui permettaient le transfert IP. Le paramètre de transfert IP désactive la vérification par Azure de la source et de la destination d’une interface réseau. Il doit être examiné par l’équipe de sécurité réseau. | deny | 1.0.0 |
Les interfaces réseau ne doivent pas avoir d’adresses IP publiques | Cette stratégie refuse les interfaces réseau configurées avec une adresse IP publique. Les adresses IP publiques permettent aux ressources Internet de communiquer avec les ressources Azure et aux ressources Azure de communiquer avec Internet. Il doit être examiné par l’équipe de sécurité réseau. | deny | 1.0.0 |
Traffic Analytics doit être activé pour les journaux de flux Network Watcher | Traffic Analytics examine les journaux de flux pour fournir des informations sur le flux de trafic de votre cloud Azure. Il peut être utilisé pour visualiser l’activité réseau de vos abonnements Azure ainsi que pour identifier les points d’accès, identifier les menaces de sécurité, comprendre les modèles de flux de trafic, identifier les problèmes de configuration réseau, etc. | Audit, Désactivé | 1.0.1 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Les adresses IP publiques et les préfixes d’adresse IP publique doivent avoir une balise FirstPartyUsage | Vérifiez que toutes les adresses IP publiques et les préfixes d’adresse IP publique ont une balise FirstPartyUsage. | Audit, Refuser, Désactivé | 1.0.0 |
SQL Server doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
Les sous-réseaux doivent être privés | Vérifiez que vos sous-réseaux sont sécurisés par défaut en empêchant l’accès sortant par défaut. Pour plus d’informations, consultez https://aka.ms/defaultoutboundaccessretirement | Audit, Refuser, Désactivé | 1.0.0 |
Les hubs virtuels doivent être protégés par le Pare-feu Azure | Déployez un Pare-feu Azure sur vos hubs virtuels pour protéger et contrôler de manière précise le trafic Internet de sortie et d’entrée. | Audit, Refuser, Désactivé | 1.0.0 |
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé | Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. | Audit, Refuser, Désactivé | 1.0.0 |
Les réseaux virtuels doivent être protégés par Azure DDoS Protection | Protégez vos réseaux virtuels contre les attaques volumétriques et de protocole avec Azure DDoS Protection. Pour plus d’informations, consultez https://aka.ms/ddosprotectiondocs. | Modifier, Audit, Désactivé | 1.0.1 |
Les réseaux virtuels doivent utiliser la passerelle de réseau virtuel spécifiée | Cette stratégie audite les réseaux virtuels si la route par défaut ne pointe pas vers la passerelle de réseau virtuel spécifiée. | AuditIfNotExists, Désactivé | 1.0.0 |
Les passerelles VPN doivent utiliser uniquement l’authentification Azure AD (Azure Active Directory) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. En savoir plus sur l’authentification Azure AD sur https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Refuser, Désactivé | 1.0.0 |
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. | Audit, Refuser, Désactivé | 1.0.0 |
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service | Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. | Audit, Refuser, Désactivé | 1.0.0 |
Balises
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Ajouter une étiquette aux groupes de ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe de ressources auquel cette étiquette manque. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
Ajouter une étiquette aux ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. Ne modifie pas les balises sur les groupes de ressources. | modify | 1.0.0 |
Ajouter une étiquette aux abonnements | Ajoute l’étiquette et la valeur spécifiées aux abonnements par le biais d’une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. Consultez https://aka.ms/azurepolicyremediation pour plus d’informations sur la correction d’une stratégie. | modify | 1.0.0 |
Ajouter ou remplacer une étiquette sur des groupes de ressources | Ajoute ou remplace l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe de ressources. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. | modify | 1.0.0 |
Ajouter ou remplacer une étiquette dans les ressources | Ajoute ou remplace l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’une ressource. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Ne modifie pas les balises sur les groupes de ressources. | modify | 1.0.0 |
Ajouter ou remplacer une étiquette dans les abonnements | Ajoute ou remplace l’étiquette et la valeur spécifiées sur des abonnements par le biais d’une tâche de correction. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. Consultez https://aka.ms/azurepolicyremediation pour plus d’informations sur la correction d’une stratégie. | modify | 1.0.0 |
Ajouter une étiquette et sa valeur à partir du groupe de ressources | Ajoute l’étiquette indiquée avec sa valeur du groupe de ressources lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Ne modifie pas les étiquettes des ressources créées avant l’application de cette stratégie, tant que ces ressources ne sont pas modifiées. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.0 |
Ajouter une étiquette et sa valeur aux groupes de ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe ressource auquel cette étiquette manque. Ne modifie pas les étiquettes des groupes de ressources créés avant l’application de cette stratégie, tant que ces groupes de ressources ne sont pas modifiés. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.0 |
Ajouter une étiquette et sa valeur aux ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Ne modifie pas les étiquettes des ressources créées avant l’application de cette stratégie, tant que ces ressources ne sont pas modifiées. Ne s’applique pas aux groupes de ressources. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.1 |
Hériter d’une étiquette du groupe de ressources | Ajoute ou remplace l’étiquette et la valeur indiquées du groupe de ressources parent lors de la création ou de la mise à jour d’une ressource. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. | modify | 1.0.0 |
Hériter d’une étiquette du groupe de ressources en cas d’absence | Ajoute l’étiquette indiquée avec sa valeur du groupe de ressources parent lors de la création ou de la mise à jour d’une ressource à laquelle cette étiquette manque. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
Hériter une étiquette de l’abonnement | Ajoute ou remplace l’étiquette spécifiée et sa valeur de l’abonnement conteneur lors de la création ou de la mise à jour d’une ressource. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. | modify | 1.0.0 |
Hériter une étiquette de l’abonnement si elle est manquante | Ajoute l’étiquette spécifiée avec sa valeur de l’abonnement conteneur lors de la création ou de la mise à jour d’une ressource qui n’a pas cette étiquette. Il est possible de corriger des ressources existantes en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
Exiger une étiquette et sa valeur sur les groupes de ressources | Applique une étiquette obligatoire avec sa valeur aux groupes de ressources. | deny | 1.0.0 |
Exiger une étiquette et sa valeur sur les ressources | Applique une balise requise et sa valeur. Ne s’applique pas aux groupes de ressources. | deny | 1.0.1 |
Exiger une étiquette sur les groupes de ressources | Applique l’existence d’une étiquette sur des groupes de ressources. | deny | 1.0.0 |
Exiger une étiquette sur les ressources | Applique l’existence d’une étiquette. Ne s’applique pas aux groupes de ressources. | deny | 1.0.1 |
Général
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Emplacements autorisés | Cette stratégie vous permet de restreindre les emplacements que votre organisation peut spécifier lors du déploiement de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. Exclut les groupes de ressources, Microsoft.azureactivedirectory/b2cdirectories et les ressources qui utilisent la région « globale ». | deny | 1.0.0 |
Emplacements autorisés pour les groupes de ressources | Cette stratégie vous permet de restreindre les emplacements où votre organisation peut créer des groupes de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. | deny | 1.0.0 |
Types de ressources autorisés | Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut déployer. Seuls les types de ressources prenant en charge « tags » et « location » sont affectés par cette stratégie. Pour restreindre toutes les ressources, dupliquez cette stratégie et affectez à « mode » la valeur « All ». | deny | 1.0.0 |
Vérifier que l’emplacement de la ressource correspond à l’emplacement du groupe de ressources | Vérifie que l’emplacement de la ressource correspond à l’emplacement de son groupe de ressources | audit | 2.0.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Configurer des abonnements pour configurer des fonctionnalités d’évaluation | Cette stratégie évalue les fonctionnalités d’évaluation de l’abonnement existant. Les abonnements peuvent être corrigés pour s’inscrire à une nouvelle fonctionnalité d’évaluation. Les nouveaux abonnements ne seront pas automatiquement inscrits. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.1 |
Ne pas autoriser la suppression des types de ressource | Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut protéger d’une suppression accidentelle en bloquant les appels de suppression à l’aide d’un effet d’action de refus. | DenyAction, Désactivé | 1.0.1 |
Ne pas autoriser les ressources M365 | Bloquer la création de ressources M365. | Audit, Refuser, Désactivé | 1.0.0 |
Ne pas autoriser les ressources MCPP | Bloquer la création de ressources MCPP. | Audit, Refuser, Désactivé | 1.0.0 |
Exclure les ressources des coûts d’utilisation | Cette stratégie vous permet d’exclure des ressources de coûts d’utilisation. Les coûts d’utilisation incluent des éléments tels que le stockage mesuré et les ressources Azure qui sont facturées en fonction de l’utilisation. | Audit, Refuser, Désactivé | 1.0.0 |
Types de ressources non autorisés | Limitez les types de ressources qui peuvent être déployés dans votre environnement. La limitation des types de ressources peut réduire la complexité et la surface d’attaque de votre environnement, tout en aidant à gérer les coûts. Les résultats de conformité s’affichent uniquement pour les ressources non conformes. | Audit, Refuser, Désactivé | 2.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.