Définitions de stratégie Azure Policy intégrées

Cette page est un index de définitions de stratégie intégrées Azure Policy.

Le nom de chaque définition intégrée est un lien vers la définition de stratégie dans le portail Azure. Utilisez le lien de la colonne Source pour voir la source dans le dépôt GitHub Azure Policy. Les définitions intégrées sont regroupées par la propriété category dans metadata. Pour accéder à une catégorie spécifique, utilisez Ctrll-F pour la fonction de recherche de votre navigateur.

API pour FHIR

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
API Azure pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans API Azure pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. audit, Audit, désactivé, Désactivé 1.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
CORS ne doit pas autoriser tous les domaines à accéder à votre API pour FHIR Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre API pour FHIR. Pour protéger votre API pour FHIR, supprimez l’accès pour tous les domaines et définissez explicitement les domaines autorisés à se connecter. audit, Audit, désactivé, Désactivé 1.1.0

Gestion des API

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés Pour garantir la sécurité des données en transit, les API doivent être disponibles uniquement via des protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS. Audit, Désactivé, Refus 2.0.2
Les appels de Gestion des API aux back-ends d’API doivent être authentifiés Les appels de Gestion des API vers des back-ends doivent utiliser une forme d’authentification, par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends Service Fabric. Audit, Désactivé, Refus 1.0.1
Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom Pour améliorer la sécurité de l’API, Gestion des API doit valider le certificat de serveur backend pour tous les appels d’API. Activez l’empreinte numérique du certificat SSL et la validation du nom. Audit, Désactivé, Refus 1.0.2
Le point de terminaison direct de Gestion des API ne doit pas être activé L’API REST de gestion directe dans Gestion des API Azure contourne les mécanismes de contrôle d’accès en fonction du rôle, d’autorisation et de limitation d’Azure Resource Manager, ce qui augmente la vulnérabilité de votre service. Audit, Désactivé, Refus 1.0.2
La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure. Pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version d’API minimale doit être définie sur 01/12/2019 ou une version ultérieure. Audit, Refuser, Désactivé 1.0.1
Les valeurs nommées des secrets de Gestion des API doivent être stockées dans Azure Key Vault Les valeurs nommées représentent une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées en tant que texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour renforcer la sécurité de Gestion des API et des secrets, référencez les valeurs nommées des secrets à partir de Azure Key Vault. Azure Key Vault prend en charge la gestion précise des accès et les stratégies de rotation des secrets. Audit, Désactivé, Refus 1.0.2
Le service Gestion des API doit utiliser une référence SKU qui prend en charge les réseaux virtuels Avec les références SKU prises en charge pour la gestion des API, le déploiement de service dans un réseau virtuel déverrouille les fonctionnalités de sécurité et de mise en réseau avancées de la gestion des API, ce qui vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/apimvnet. Audit, Refuser, Désactivé 1.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. AuditIfNotExists, Désactivé 1.0.1
L’authentification par nom d’utilisateur et mot de passe doit être désactivée pour Gestion des API Pour mieux sécuriser le portail des développeurs, l’authentification par nom d’utilisateur et mot de passe dans Gestion des API doit être désactivée. Configurez l’authentification utilisateur par le biais de fournisseurs d’identité Azure AD ou Azure AD B2C et désactivez l’authentification par nom d’utilisateur et mot de passe par défaut. Audit, Désactivé 1.0.1
Les abonnements à Gestion des API ne doivent pas être étendus à toutes les API Les abonnements à Gestion des API doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données. Audit, Désactivé, Refus 1.1.0
La version de la plateforme Gestion des API Azure doit être stv2 La version de la plateforme de calcul stv1 Gestion des API Azure sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. En savoir plus via /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 Audit, Refuser, Désactivé 1.0.0
Configurer les services Gestion des API pour désactiver l’accès aux points de terminaison de configuration de service public de Gestion des API Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. DeployIfNotExists, Désactivé 1.1.0
Modifier Gestion des API pour désactiver l’authentification par nom d’utilisateur et mot de passe Pour mieux sécuriser les comptes d’utilisateur du portail des développeurs et leurs informations d’identification, configurez l’authentification utilisateur via les fournisseurs d’identité Azure AD ou Azure AD B2C, et désactivez l’authentification par nom d’utilisateur et mot de passe par défaut. Modifier 1.1.0

App Configuration

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
App Configuration doit désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. Audit, Refuser, Désactivé 1.0.0
App Configuration doit utiliser une clé gérée par le client Les clés gérées par le client offrent une protection améliorée des données en vous permettant de gérer vos clés de chiffrement. Cela est souvent nécessaire pour répondre aux exigences de conformité. Audit, Refuser, Désactivé 1.1.0
App Configuration doit utiliser une référence SKU qui prend en charge la liaison privée Lorsque vous utilisez une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. Audit, Refuser, Désactivé 1.0.0
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Les méthodes d’authentification locales doivent être désactivées pour les magasins App Configuration La désactivation des méthodes d'authentification locales améliore la sécurité en garantissant que les magasins App Configuration nécessitent des identités Microsoft Entra exclusivement pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Refuser, Désactivé 1.0.1
Configurer les magasins App Configuration pour désactiver les méthodes d’authentification locales Désactivez les méthodes d’authentification locales afin que vos magasins App Configuration nécessitent des identités Microsoft Entra exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2161954. Modifier, Désactivé 1.0.1
Configurer App Configuration pour désactiver l’accès réseau public Désactivez l’accès réseau public pour App Configuration afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. Modifier, Désactivé 1.0.0
Configurer des zones DNS privées pour les points de terminaison privés connectés à App Configuration Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée peut être liée à votre réseau virtuel pour résoudre des instances App Configuration. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Désactivé 1.0.0
Configurer des points de terminaison privés pour App Configuration Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances de configuration d’application, vous réduisez les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Désactivé 1.0.0

Plateforme d’application

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Auditer les instances Azure Spring Cloud où le suivi distribué n’est pas activé Dans Azure Spring Cloud, les outils de suivi distribué permettent de déboguer et de superviser les interconnexions complexes entre les microservices dans une application. Ces outils doivent être activés et dans un état d’intégrité normal. Audit, Désactivé 1.0.0-preview
Azure Spring Cloud doit utiliser l’injection de réseau Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. Audit, Désactivé, Refus 1.2.0

App Service

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les emplacements d’application App Service doivent être injectés dans un réseau virtuel L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Refuser, Désactivé 1.0.0
Les emplacements de l’application App Service doivent désactiver l'accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
Les emplacements des applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. Audit, Refuser, Désactivé 1.0.0
Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. Audit, Refuser, Désactivé 1.0.0
Les emplacements d’application App Service doivent avoir l’option Certificats clients (certificats clients entrants) activée Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.3
Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.4
Le débogage à distance doit être désactivé pour les emplacements des applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 1.0.1
Les journaux de ressource doivent être activés pour les emplacements des applications App Service Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 1.0.0
Pour permettre à toutes les ressources d’accéder à vos applications, aucun CORS ne doit être configuré dans vos emplacements d’application App Service Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application App Service doivent être accessibles seulement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 2.0.0
Les emplacements d’application App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 1.0.0
Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les emplacements des applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 1.0.0
Les emplacements des applications App Service doivent utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les emplacement d’application App Service qui utilisent Java doivent utiliser une 'version de Java' spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. AuditIfNotExists, Désactivé 1.0.0
Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. AuditIfNotExists, Désactivé 1.0.0
Les emplacement d’application App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent être injectées dans un réseau virtuel L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Refuser, Désactivé 3.0.0
Les applications App Service doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.1.0
Les applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. Audit, Refuser, Désactivé 1.0.0
Les applications App Service doivent activer le trafic sortant non-RFC 1918 vers Azure Réseau virtuel Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. Audit, Refuser, Désactivé 1.0.0
L’authentification doit être activée pour les applications App Service L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. AuditIfNotExists, Désactivé 2.0.1
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.3
Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.3
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. Audit, Refuser, Désactivé 4.1.0
Les applications App Service doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. AuditIfNotExists, Désactivé 1.0.1
Les applications App Service doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les applications App Service qui utilisent Java doivent utiliser une « version de Java » spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. AuditIfNotExists, Désactivé 3.1.0
Les applications App Service qui utilisent PHP doivent utiliser une « version de PHP » spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. AuditIfNotExists, Désactivé 3.2.0
Les applications App Service qui utilisent Python doivent utiliser une « version de Python » spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. AuditIfNotExists, Désactivé 4.1.0
Les applications App Service Environment ne doivent pas être accessibles via Internet public Pour garantir que les applications déployées dans App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans le réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, App Service Environment doit être déployé avec un équilibreur de charge interne. Audit, Refuser, Désactivé 3.0.0
App Service Environment doit être configuré avec les suites de chiffrement TLS les plus fortes Les deux suites de chiffrement minimales les plus fortes requises pour App Service Environment sont les suivantes : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Désactivé 1.0.0
App Service Environment doit être approvisionné avec les dernières versions Autorisez uniquement la configuration d’App Service Environment version 2 ou 3. Les versions antérieures d’App Service Environment nécessitent une gestion manuelle des ressources Azure et présentent des limitations de mise à l’échelle accrues. Audit, Refuser, Désactivé 1.0.0
App Service Environment doit avoir le chiffrement interne activé Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Désactivé 1.0.1
App Service Environment doit avoir TLS 1.0 et 1.1 désactivés Les protocoles TLS 1.0 et 1.1 sont des protocoles obsolètes qui ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans App Service Environment. Audit, Refuser, Désactivé 2.0.1
Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les déploiements FTP La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.3
Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les sites SCM La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.3
Configurer les emplacements des applications App Services pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.1.0
Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer les emplacements des applications App Service pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.1.0
Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.1.0
Configurer les applications App Service pour désactiver l’authentification locale pour les déploiements FTP La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.3
Configurer les applications App Service pour désactiver l’authentification locale pour les sites SCM La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.3
Configurer les applications App Services pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.1.0
Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer les applications App Service pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.0.0
Configurer les applications App Service pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée lie un réseau virtuel à App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Désactivé 1.0.1
Configurer les applications App Service pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.0.1
Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.1.0
Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer les emplacements des applications de fonction pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts dans une application de fonction. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.1.0
Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.1.0
Configurer les applications de fonction pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.1.0
Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer des applications de fonction pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.0.0
Configurer les applications de fonction pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.0.1
Les emplacements des applications de fonction doivent désactiver l'accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
Les emplacements d’application de fonction doivent avoir l’option Certificats clients (certificats clients entrants) activée Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 2.0.0
Les emplacements d’application de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 1.0.0
Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les emplacements des applications de fonction doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les emplacement d’application de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. AuditIfNotExists, Désactivé 1.0.0
Les emplacement d’application de fonction qui utilisent Python doivent utiliser une 'version de Python' spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. AuditIfNotExists, Désactivé 1.0.0
Les applications de fonction doivent désactiver l'accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
L’authentification doit être activée pour les applications de fonction L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. AuditIfNotExists, Désactivé 3.0.0
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les applications de fonction qui utilisent Java doivent utiliser une « version de Java » spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. AuditIfNotExists, Désactivé 3.1.0
Les applications de fonction qui utilisent Python doivent utiliser une « version de Python » spécifiée Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. AuditIfNotExists, Désactivé 4.1.0

Attestation

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les fournisseurs Azure Attestation doivent désactiver l’accès réseau public Pour améliorer la sécurité de la ressource Azure Attestation Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans aka.ms/azureattestation. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 1.0.0
Les fournisseurs Azure Attestation doivent utiliser des points de terminaison privés Les points de terminaison privés permettent de connecter les fournisseurs Azure Attestation à vos ressources Azure sans envoyer de trafic sur l’Internet public. En empêchant l’accès public, les points de terminaison privés aident à se prémunir contre les accès anonymes indésirables. AuditIfNotExists, Désactivé 1.0.0

Automanage

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Une identité managée doit être activée sur vos machines Les ressources gérées par Automanage doivent avoir une identité managée. Audit, Désactivé 1.0.0-preview
[Préversion] : L’affectation du profil de configuration Automanage doit être conforme Les ressources gérées par Automanage doivent présenter l’état Conformant ou ConformantCorrected. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Les diagnostics de démarrage doivent être activés sur les machines virtuelles Le diagnostic de démarrage des machines virtuelles Azure doit être activé. Audit, Désactivé 1.0.0-preview
Configurer des machines virtuelles à intégrer à Azure Automanage Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage à l’étendue sélectionnée. AuditIfNotExists, DeployIfNotExists, Désactivé 2.4.0
Configurer les machines virtuelles à intégrer à Azure Automanage avec un profil de configuration personnalisé Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage avec votre propre profil de configuration personnalisé à votre étendue sélectionnée. AuditIfNotExists, DeployIfNotExists, Désactivé 1.4.0
Hotpatch doit être activé pour les machines virtuelles Windows Server Azure Edition Réduisez les redémarrages et installez rapidement les mises à jour avec les mises à jour correctives à chaud. Pour en savoir plus, voir https://docs.microsoft.com/azure/automanage/automanage-hotpatch Audit, Refuser, Désactivé 1.0.0

Automatisation

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le compte Automation doit avoir une identité managée Utilisez les identités managées comme méthode recommandée pour l’authentification auprès des ressources Azure à partir des runbooks. L’identité managée pour l’authentification est plus sécurisée et élimine la surcharge de gestion associée à l’utilisation du compte d’identification dans votre code de runbook. Audit, Désactivé 1.0.0
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les comptes Automation doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition des ressources de votre compte Automation en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour le compte Azure Automation La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. Audit, Refuser, Désactivé 1.0.0
Configurer le compte Azure Automation pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. Modifier, Désactivé 1.0.0
Configurer des comptes Azure Automation pour désactiver l'accès réseau public Désactivez l’accès réseau public pour le compte Azure Automation afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0
Configurer des comptes Azure Automation avec des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Vous avez besoin d’une zone DNS privée correctement configurée pour vous connecter à un compte Azure Automation compte via Azure Private Link. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer des connexions de point de terminaison privé sur des comptes Azure Automation Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Azure Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Désactivé 1.0.0
Les connexions de point de terminaison privé sur les comptes Automation doivent être activées Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists, Désactivé 1.0.0

Azure Active Directory

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les domaines gérés par Azure Active Directory Domain Services doivent utiliser le mode TLS 1.2 uniquement Utilisez le mode TLS 1.2 uniquement pour vos domaines gérés. Par défaut, Azure AD Domain Services permet d’utiliser des méthodes de chiffrement comme NTLM v1 et TLS v1. Certaines applications héritées peuvent avoir besoin de ces chiffrements, mais étant considérés comme faibles, vous pouvez les désactiver si vous n’en avez pas l’utilité. Quand le mode TLS 1.2 uniquement est activé, les clients effectuant une demande qui n’utilise pas TLS 1.2 échouent. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Refuser, Désactivé 1.1.0

Azure AI Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Configurer les ressources Azure AI Services pour désactiver l’accès par clé locale (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth DeployIfNotExists, Désactivé 1.0.0
Configurer les ressources Azure AI Services pour désactiver l’accès par clé locale (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth DeployIfNotExists, Désactivé 1.0.0
Les journaux de diagnostic dans les ressources Azure AI services doivent être activés Activez les journaux pour les ressources Azure AI services. Cela vous permet de recréer les pistes d’activité à des fins d’investigation, en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 1.0.0

Azure Arc

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : refuser la création ou la modification de la licence des mises à jour de sécurité étendues (ESU). Cette stratégie vous permet de restreindre la création ou la modification des licences ESU pour les machines Arc Windows Server 2012. Pour plus d’informations sur la tarification, consultez https://aka.ms/ArcWS2012ESUPricing Deny, Disabled 1.0.0-preview
[Préversion] : activer la licence des mises à jour de sécurité étendues (ESU) pour protéger les machines Windows 2012 une fois leur cycle de vie de support terminé. Activer la licence des mises à jour de sécurité étendues (ESU) pour protéger les machines Windows 2012 même une fois leur cycle de vie de support terminé. Pour découvrir comment préparer la livraison des mises à jour de sécurité étendues pour Windows Server 2012 via Azure Arc, visitez https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Pour plus d’informations sur la tarification, consultez https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, Désactivé 1.0.0-preview
Les étendues de liaison privée Azure Arc doivent être configurées avec un point de terminaison privé Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux étendues de liaison privée Azure Arc, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Désactivé 1.0.0
Les étendues de liaison privée Azure Arc doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Azure Arc ne peuvent pas se connecter via l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos ressources Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Les clusters Kubernetes prenant en charge Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Les serveurs Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Configurer les étendues de liaison privée Azure Arc pour désactiver l’accès au réseau public Désactivez l’accès réseau public pour votre étendue de liaison privée Azure ARC afin que les ressources Azure Arc associées ne puissent pas se connecter aux services Azure Arc via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0
Configurer les étendues Azure Arc Private Link pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour une résolution en étendues Private Link Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. DeployIfNotExists, Désactivé 1.2.0
Configurer des étendues de liaison privée Azure Arc avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée Azure Arc, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. DeployIfNotExists, Désactivé 2.0.0
Configurer des clusters Kubernetes prenant en charge Azure Arc pour utiliser une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0
Configurer des serveurs Azure Arc pour utiliser une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0

Explorateur de données Azure

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les administrateurs de base de données sur Azure Data Explorer doivent être désactivés Désactivez tous les rôles d’administrateur de base de données pour restreindre l’octroi d’un rôle d’utilisateur hautement privilégié/administratif. Audit, Refuser, Désactivé 1.0.0
Le cluster Azure Data Explorer doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés sur le cluster Azure Data Explorer, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. Audit, Désactivé 1.0.0
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. Audit, Refuser, Désactivé 1.0.0
Azure Data Explorer doit utiliser une référence SKU qui prend en charge la liaison privée Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. Audit, Refuser, Désactivé 1.0.0
Configurer des clusters Azure Data Explorer avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Data Explorer, vous pouvez réduire les risques de fuite de données. Pour plus d’informations : [ServiceSpecificAKA.ms]. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Data Explorer pour désactiver l’accès réseau public La désactivation de la propriété d’accès réseau public arrête la connectivité publique pour qu’Azure Data Explorer soit accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive l’accès réseau public pour tous les clusters Azure Data Explorer. Modifier, Désactivé 1.0.0
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
L’accès réseau public sur Azure Data Explorer doit être désactivé La désactivation de la propriété d’accès réseau public améliore la sécurité en veillant à ce qu’Azure Data Explorer soit uniquement accessible à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.0.0
L’injection de réseau virtuel doit être activée dans Azure Data Explorer Sécurisez votre périmètre réseau à l’aide de l’injection de réseau virtuel qui vous permet d’appliquer des règles de groupe de sécurité réseau, de vous connecter localement et de sécuriser vos sources de connexion de données avec des points de terminaison de service. Audit, Refuser, Désactivé 1.0.0

Azure Databricks

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les clusters Azure Databricks doivent désactiver l’adresse IP publique La désactivation de l’adresse IP publique des clusters dans les espaces de travail Azure Databricks renforce la sécurité en veillant à ce que les clusters ne soient pas exposés sur l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. Audit, Refuser, Désactivé 1.0.1
Les espaces de travail Azure Databricks doivent se trouver dans un réseau virtuel Les réseaux virtuels Azure offrent une sécurité et une isolation améliorées pour vos espaces de travail Azure Databricks, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Audit, Refuser, Désactivé 1.0.2
Les espace de travail Databricks doivent être des références SKU Premium qui prennent en charge des fonctionnalités telles que la liaison privée et la clé gérée par le client pour le chiffrement Autorisez uniquement l’espace de travail Databricks avec une référence SKU Premium que votre organisation peut déployer pour prendre en charge des fonctionnalités telles que la liaison privée et la clé gérée par le client pour le chiffrement. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adbpe. Audit, Refuser, Désactivé 1.0.1
Les espaces de travail Azure Databricks doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez contrôler l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Audit, Refuser, Désactivé 1.0.1
Les espaces de travail Azure Databricks doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Databricks, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/adbpe. Audit, Désactivé 1.0.2
Configurer l’espace de travail Azure Databricks pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour être résolue en espaces de travail Azure Databricks. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adbpe. DeployIfNotExists, Désactivé 1.0.1
Configurer des espaces de travail Azure Databricks avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de travail Azure Databricks, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/adbpe. DeployIfNotExists, Désactivé 1.0.2
Configurer les paramètres de diagnostic pour les espaces de travail Azure Databricks vers l’espace de travail Log Analytics Déploie les paramètres de diagnostic pour les espaces de travail Azure Databricks afin de diffuser en continu les journaux de ressources vers un espace de travail Log Analytics quand un espace de travail Azure Databricks qui ne contient pas ces paramètres de diagnostic est créé ou mis à jour. DeployIfNotExists, Désactivé 1.0.1
Les journaux de ressources dans les espaces de travail Azure Databricks doivent être activés Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. AuditIfNotExists, Désactivé 1.0.1

Azure Edge Hardware Center

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La prise en charge du double chiffrement doit être activée pour les appareils Azure Edge Hardware Center Assurez-vous que la prise en charge du double chiffrement est activée pour les appareils commandés à partir d’Azure Edge Hardware Center, afin de sécuriser les données au repos sur l’appareil. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 2.0.0

Azure Load Testing

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La ressource de test de charge Azure doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos de votre ressource Test de charge Azure. Par défaut, le chiffrement est effectué à l’aide de clés gérées par le service. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Refuser, Désactivé 1.0.0

Azure Purview

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Azure Purview doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos comptes Azure Purview plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/purview-private-link. Audit, Désactivé 1.0.0

Azure Stack Edge

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les appareils Azure Stack Edge doivent utiliser le chiffrement double Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0

Azure Update Manager

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer la vérification périodique des mises à jour système manquantes sur les serveurs compatibles Azure Arc Configurez l’auto-évaluation (toutes les 24 heures) des mises à jour du système d’exploitation sur les serveurs avec Azure Arc. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. Découvrez-en plus à ce sujet pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.2.1
Configurer la recherche périodique des mises à jour système manquantes sur des machines virtuelles Azure Configurez l’auto-évaluation (toutes les 24 heures) des mises à jour du système d’exploitation sur les machines virtuelles Azure natives. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. Découvrez-en plus à ce sujet pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. modify 4.8.0
Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». Découvrez-en plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Refuser, Désactivé 3.7.0
Planifier des mises à jour régulières à l’aide d’Azure Update Manager Vous pouvez utiliser Azure Update Manager dans Azure pour enregistrer des planifications de déploiement périodiques afin d’installer des mises à jour du système d’exploitation pour vos machines Windows Server et Linux dans Azure, dans des environnements locaux et dans d’autres environnements cloud connectés à l’aide de serveurs avec Azure Arc. Cette stratégie modifie également le mode de correctif de la machine virtuelle Azure en « AutomaticByPlatform ». Pour en savoir plus : https://aka.ms/umc-scheduled-patching DeployIfNotExists, Désactivé 3.10.0

Sauvegarde

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Sauvegarde Azure doit être installée dans des clusters AKS Vérifiez l’installation de la protection de l’extension de sauvegarde dans vos clusters AKS pour tirer parti de Sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Sauvegarde Azure doit être activé pour les clusters AKS Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Sauvegarde Azure doit être activé pour les objets blob de comptes de stockage Assurez la protection de vos comptes de stockage en activant Sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Sauvegarde Azure doit être activé pour les disques managés Assurez la protection de vos disques managés en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : les coffres Sauvegarde Azure doivent utiliser des clés gérées par le client pour chiffrer des données de sauvegarde. Une option également pour appliquer le chiffrement d’infrastructure. Cette stratégie suit l’« effet » si les paramètres de chiffrement sont activés pour les coffres de sauvegarde dans l’étendue. Entre outre, l’option permettant de vérifier si le coffre de sauvegarde dispose également du chiffrement d’infrastructure activé. Pour en savoir plus, rendez-vous sur https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Veuillez noter que lorsque vous utilisez l’« effet », vous devez activer les paramètres de chiffrement sur les coffres de sauvegarde existants afin d’autoriser la poursuite d’autres opérations de mise à jour sur le coffre. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les coffres Azure Recovery Services doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le coffre Recovery Services ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition du coffre Recovery Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PublicNetworkAccess-Deny. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. Audit, Désactivé 2.0.0-preview
[Préversion] : Configurer les coffres Recovery Services Azure pour désactiver l’accès au réseau public Désactivez l’accès au réseau public de votre coffre Recovery Services pour qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PublicNetworkAccess-Deny. Modifier, Désactivé 1.0.0-preview
[Préversion] : Configurer la sauvegarde d’objets blobs sur les comptes de stockage avec une balise donnée dans un coffre de sauvegarde existant dans la même région Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui contiennent une balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Préversion] : Configurer la sauvegarde d’objets blob pour tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde dans la même région Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Préversion] : Configurer des coffres Recovery Services afin d’utiliser des zones DNS privées pour la sauvegarde Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour votre coffre Recovery Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Désactivé 1.0.1-preview
[Préversion] : Configurer des coffres Recovery Services afin d’utiliser des points de terminaison privés pour la sauvegarde Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Notez que vos coffres doivent répondre à certaines conditions préalables pour être éligibles pour une configuration de point de terminaison privé. Plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : désactiver la restauration inter-abonnements pour des coffres Recovery Services Azure Désactivez de façon temporaire ou permanente la restauration inter-abonnements pour votre coffre Recovery Services pour éviter que les cibles de restauration ne se trouvent dans un abonnement différent de celui du coffre. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/csrenhancements. Modifier, Désactivé 1.1.0-preview
[Préversion] : Désactiver la restauration inter-abonnements pour les coffres de sauvegarde Désactivez de façon temporaire ou permanente la restauration inter-abonnements pour votre coffre de sauvegarde pour éviter que les cibles de restauration ne se trouvent dans un abonnement différent de celui du coffre. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/csrstatechange. Modifier, Désactivé 1.1.0-preview
[Préversion] : n’autorisez pas la création de coffres Recovery Services de redondance de stockage choisie. Les coffres Recovery Services peuvent aujourd’hui être créés avec l’une des trois options de redondance de stockage, à savoir le stockage localement redondant, le stockage redondant interzone et le stockage géoredondant. Si les stratégies de votre organisation vous obligent à bloquer la création de coffres appartenant à un certain type de redondance, vous pouvez réaliser la même chose à l’aide de cette stratégie Azure. Deny, Disabled 1.0.0-preview
[Préversion] : l’immuabilité doit être activée pour les coffres de sauvegarde Cette stratégie vérifie si la propriété des coffres immuables est activée pour les coffres de sauvegarde dans l’étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-ImmutableVaults. Audit, Désactivé 1.0.1-preview
[Aperçu] : l'immuabilité doit être activée pour les coffres Recovery Services Cette stratégie vérifie si la propriété de coffres immuables est activée pour les coffres Recovery Services dans l'étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-ImmutableVaults. Audit, Désactivé 1.0.1-preview
[Préversion] : L’autorisation multi-utilisateur (MUA) doit être activée pour les coffres de sauvegarde. Cette stratégie vérifie si l’autorisation multi-utilisateur est activée pour les coffres de sauvegarde. L’autorisation multi-utilisateur contribue à sécuriser vos coffres de sauvegarde en ajoutant une couche supplémentaire de protection aux opérations critiques. Pour plus d'informations, consultez https://aka.ms/mua-for-bv. Audit, Désactivé 1.0.0-preview
[Préversion] : L’autorisation multi-utilisateur (MUA) doit être activée pour les Coffres Recovery Services. Cette stratégie vérifie si l’autorisation multi-utilisateur est activée pour les Coffres Recovery Services. L’autorisation multi-utilisateur contribue à sécuriser vos Coffres Recovery Services en ajoutant une couche supplémentaire de protection aux opérations critiques. Pour plus d'informations, consultez https://aka.ms/MUAforRSV. Audit, Désactivé 1.0.0-preview
[Préversion] : la suppression réversible doit être activée pour les coffres Recovery Services. Cette stratégie vérifie si la suppression réversible est activée pour les coffres Recovery Services dans l’étendue. La suppression réversible vous permet de récupérer vos données même après leur suppression. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-SoftDelete. Audit, Désactivé 1.0.0-preview
[Préversion] : la suppression réversible doit être activée pour les coffres de sauvegarde Cette stratégie vérifie si la suppression réversible est activée pour les coffres de sauvegarde dans l’étendue. La suppression réversible vous permet de récupérer vos données une fois supprimées. Pour en savoir plus, voir https://aka.ms/AB-SoftDelete Audit, Désactivé 1.0.0-preview
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un coffre Recovery Services existant au même emplacement Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.2.0
Déployez les paramètres de diagnostic du coffre Recovery Services sur l’espace de travail Log Analytics pour les catégories propres à une ressource. Déployez les paramètres de diagnostic du coffre Recovery Services afin de les envoyer vers l’espace de travail Log Analytics pour les catégories propres à une ressource. Si l’une des catégories propres à la ressource n’est pas activée, un nouveau paramètre de diagnostic est créé. deployIfNotExists 1.0.2

Batch

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. Audit, Refuser, Désactivé 1.0.1
Le chiffrement de disque doit être activé sur les pools de Azure Batch L’activation de Azure Batch le chiffrement de disque garantit que les données sont toujours chiffrées au repos sur votre nœud de calcul Azure Batch. En savoir plus sur le chiffrement de disque dans Batch à https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Désactivé, Refus 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les comptes Batch La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. Audit, Refuser, Désactivé 1.0.0
Configurer des comptes batch pour désactiver l’authentification locale Désactivez les méthodes d’authentification d’emplacement de sorte que vos comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. Modifier, Désactivé 1.0.0
Configurer les comptes Batch pour désactiver l'accès au réseau public Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. Modifier, Désactivé 1.0.0
Configurer des comptes Batch avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des comptes Batch, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Désactivé 1.0.0
Déployer - Configurer des zones DNS privées pour les points de terminaison privés qui se connectent aux comptes Batch Les enregistrements DNS privés permettent d’établir des connexions privées aux points de terminaison privés. Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Pour plus d’informations sur les points de terminaison privés et les zones DNS dans Batch, consultez https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Désactivé 1.0.0
Des règles d’alerte de métrique doivent être configurées sur les comptes Batch Auditez la configuration des règles d’alerte de métrique sur le compte Batch pour activer la métrique requise. AuditIfNotExists, Désactivé 1.0.0
Les connexions de point de terminaison privé sur les comptes Batch doivent être activées Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Batch sur https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Désactivé 1.0.0
L’accès au réseau public doit être désactivé pour les comptes Batch Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Refuser, Désactivé 1.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Bot Service

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le point de terminaison du service bot doit être un URI HTTPS valide Les données peuvent être falsifiées pendant la transmission. Certains protocoles chiffrent les données pour résoudre les problèmes d’utilisation abusive et de falsification. Pour veiller à ce que vos bots communiquent uniquement sur des canaux chiffrés, définissez le point de terminaison sur un URI HTTPS valide. Ainsi, le protocole HTTPS est utilisé pour chiffrer vos données en transit, ce qui constitue souvent une exigence à des fins de conformité aux normes réglementaires ou du secteur. Consultez : https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Bot Service doit être chiffré avec une clé gérée par le client Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le mode isolé doit être activé pour le service bot Les robots doivent être définis en mode « isolé uniquement ». Ce paramètre configure les canaux Bot Service qui nécessitent la désactivation du trafic sur l’Internet public. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Bot Service doit avoir les méthodes d’authentification locales désactivées La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’un bot utilise exclusivement AAD pour l’authentification. Audit, Refuser, Désactivé 1.0.0
Bot Service doit avoir l’accès réseau public désactivé Les robots doivent être définis en mode « isolé uniquement ». Ce paramètre configure les canaux Bot Service qui nécessitent la désactivation du trafic sur l’Internet public. Audit, Refuser, Désactivé 1.0.0
Les ressources BotService doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. Le mappage de points de terminaison privés à votre ressource BotService réduit les risques de fuite de données. Audit, Désactivé 1.0.0
Configurer les ressources BotService pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en ressources associées BotService. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer les ressources BotService avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. Le mappage de points de terminaison privés à votre ressource BotService peut réduire les risques de fuite de données. DeployIfNotExists, Désactivé 1.0.0

Cache

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Cache pour Redis doit désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’Azure Cache pour Redis ne soit pas exposé sur l’Internet public. Vous pouvez limiter l’exposition d’Azure Cache pour Redis en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Refuser, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure Cache pour Redis afin de désactiver des ports non SSL Activez uniquement les connexions SSL à Azure Cache pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Modifier, Désactivé 1.0.0
Configurer Azure Cache pour Redis pour désactiver l’accès réseau public Désactivez l’accès réseau public pour votre ressource Azure Cache pour Redis afin qu’elle ne soit pas accessible via l’Internet public. Cela permet de protéger le cache contre les risques de fuite de données. Modifier, Désactivé 1.0.0
Configurer Azure Cache pour Redis pour utiliser les zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée peut être liée à votre réseau virtuel pour être résolue en instance Azure Cache pour Redis. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Cache pour Redis avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Cache pour Redis, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/redis/privateendpoint. DeployIfNotExists, Désactivé 1.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0

CDN

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les profils Azure Front Door doivent utiliser le niveau Premium qui prend en charge les règles WAF managées et la liaison privée Azure Front Door Premium prend en charge les règles WAF managées Azure et la liaison privée aux origines Azure prises en charge. Audit, Refuser, Désactivé 1.0.0
Azure Front Door Standard et Premium doivent exécuter au minimum la version 1.2 de TLS La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que vos domaines personnalisés ne sont accessibles qu’à partir des clients utilisant TLS 1.2 ou une version plus récente. L’utilisation de versions de TLS antérieures à 1.2 n’est pas recommandée, car elles sont moins performantes et ne prennent pas en charge les algorithmes de chiffrement modernes. Audit, Refuser, Désactivé 1.0.0
Sécuriser la connectivité privée entre Azure Front Door Premium et Stockage Blob Azure ou Azure App Service La liaison privée garantit une connectivité privée entre AFD Premium et Azure Storage Blob ou Azure App Service sur le réseau principal Azure, sans que Azure Storage Blob ou Azure App Service soit exposé publiquement à Internet. Audit, Désactivé 1.0.0

ChangeTrackingAndInventory

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Configurer des machines Linux avec Arc à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications Déployez l’association pour lier les machines Linux avec Arc à la règle de collecte de données spécifiée pour activer l’inventaire et le suivi des modifications. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Linux avec Arc pour installer AMA pour l’inventaire et le suivi des modifications Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour activer l’inventaire et le suivi des modifications. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé préversion-1.3.0
[Préversion] : Configurer des machines virtuelles Linux à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications Déployez l’association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer des machines virtuelles Linux pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.4.0-preview
[Préversion] : configurer VMSS Linux pour qu’il soit associé à une règle de collecte de données pour ChangeTracking et Inventory Déployez l’association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer des machines virtuelles VMSS Linux pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur Automatisez le déploiement de l'extension Azure Monitor Agent sur les jeux d'échelles de vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé préversion-1.3.0
[Préversion] : Configurer des machines Windows avec Arc à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications Déployez l’association pour lier les machines Windows avec Arc à la règle de collecte de données spécifiée pour activer l’inventaire et le suivi des modifications. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Windows avec Arc afin d’installer l’agent Azure Monitor pour l’inventaire et le suivi des modifications Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour activer l’inventaire et le suivi des modifications. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer des machines virtuelles Windows à associer à une règle de collecte de données pour ChangeTracking et Inventory Déployez l’association pour lier des machines virtuelles Windows à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer des machines virtuelles Windows pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer VMSS Windows pour qu’il soit associé à une règle de collecte de données pour ChangeTracking et Inventory Déployez l’association pour lier des groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer Windows VMSS pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur Automatisez le déploiement de l'extension Azure Monitor Agent sur les jeux d'échelles de vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.0.0-preview

Cognitive Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Refuser, Désactivé 2.1.0
Les comptes Cognitive Services doivent utiliser une identité managée L’attribution d’une identité gérée à votre compte Cognitive Services permet de garantir une authentification sécurisée. Cette identité est utilisée par ce compte Cognitive Services pour communiquer avec d’autres services Azure, comme Azure Key Vault, de manière sécurisée et sans que vous ayez à gérer des informations d’identification. Audit, Refuser, Désactivé 1.0.0
Les comptes Cognitive Services doivent utiliser le stockage appartenant au client Utilisez le stockage appartenant au client pour contrôler les données stockées au repos dans Cognitive Services. Pour en savoir plus sur le stockage appartenant au client, visitez https://aka.ms/cogsvc-cmk. Audit, Refuser, Désactivé 2.0.0
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Configurer les comptes Cognitive Services pour désactiver les méthodes d’authentification locales Désactivez les méthodes d’authentification locales de sorte que vos comptes Cognitive Services nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/cs/auth. Modifier, Désactivé 1.0.0
Configurer les comptes Cognitive Services pour désactiver l’accès au réseau public Désactivez l’accès réseau public pour votre ressource Cognitive Services afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2129800. Désactivé, Modifier 3.0.0
Configurer les comptes Cognitive Services pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en comptes Cognitive Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Désactivé 1.0.0
Configurer les comptes Cognitive Services avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Désactivé 3.0.0

Calcul

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Références SKU des tailles de machine virtuelle autorisées Cette stratégie vous permet de spécifier un ensemble de références de taille de machine virtuelle que votre organisation peut déployer. Deny 1.0.1
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé audit 1.0.0
Configurer la reprise d’activité sur les machines virtuelles en activant la réplication avec Azure Site Recovery Les machines virtuelles sans configuration de récupération d’urgence sont vulnérables aux pannes et autres interruptions. Si la récupération d’urgence n’est pas encore configurée sur la machine virtuelle, cette opération produit le même effet en activant la réplication à l’aide de configurations prédéfinies pour faciliter la continuité des activités. Vous pouvez éventuellement inclure/exclure des machines virtuelles contenant une étiquette spécifiée pour contrôler l’étendue de l’attribution. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. DeployIfNotExists, Désactivé 2.1.0
Configurer les ressources d’accès au disque pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour un disque managé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Désactivé 1.0.0
Configurer des ressources d’accès au disque avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés aux ressources d’accès au disque, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Désactivé 1.0.0
Configurer les disques managés pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. Modifier, Désactivé 2.0.0
Déployer l’extension Microsoft IaaSAntimalware par défaut pour Windows Server Cette stratégie déploie une extension Microsoft IaaSAntimalware avec une configuration par défaut quand une machine virtuelle n’est pas configurée avec l’extension de logiciel anti-programme malveillant. deployIfNotExists 1.1.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. Audit, Refuser, Désactivé 1.0.0
Les disques managés doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. Audit, Désactivé 2.0.0
Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. Audit, Refuser, Désactivé 2.0.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. AuditIfNotExists, Désactivé 1.1.0
Seules les extensions de machine virtuelle approuvées doivent être installées Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. Audit, Refuser, Désactivé 1.0.0
Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. Audit, Refuser, Désactivé 3.0.0
Protégez vos données avec des exigences d’authentification lors de l’exportation ou du chargement sur un disque ou un instantané. Lorsque l’URL d’exportation/chargement est utilisée, le système vérifie si l’utilisateur dispose d’une identité dans Azure Active Directory, avec des autorisations nécessaires pour exporter/charger les données. Consultez la page aka.ms/DisksAzureADAuth. Modifier, Désactivé 1.0.0
Exiger la mise à jour corrective automatique de l’image du système d’exploitation sur les groupes de machines virtuelles identiques Cette stratégie applique l’activation de la mise à jour corrective automatique des images de système d’exploitation sur les groupes de machines virtuelles identiques afin d’assurer la sécurité des machines virtuelles par l’application sécurisée mensuelle des derniers correctifs de sécurité. deny 1.0.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. Audit, Refuser, Désactivé 1.0.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

Applications de conteneur

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification doit être activée sur Container Apps L’authentification Container Apps est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’atteindre l’application conteneur ou authentifier celles qui ont des jetons avant qu’elles n’atteignent l’application conteneur AuditIfNotExists, Désactivé 1.0.1
Les environnements Container App doivent utiliser l’injection réseau Les environnements Container Apps doivent utiliser l’injection de réseau virtuel pour : 1. Isoler les applications conteneur de l’Internet public 2. Activer l’intégration réseau avec les ressources locales ou dans d’autres réseaux virtuels Azure 3. Gagner en granularité sur le trafic réseau entrant et provenant de l’environnement. Audit, Désactivé, Refus 1.0.2
Container App doit être configurée avec le montage de volume Appliquez l’utilisation de montages de volumes pour Container Apps afin de garantir la disponibilité de la capacité de stockage persistante. Audit, Refuser, Désactivé 1.0.1
L’environnement Container Apps doit désactiver l’accès réseau public Désactivez l’accès au réseau public pour améliorer la sécurité en exposant l’environnement Container Apps via un équilibreur de charge interne. Cela supprime la nécessité d’une adresse IP publique et empêche l’accès Internet à toutes les applications conteneur au sein de l’environnement. Audit, Refuser, Désactivé 1.0.1
Container Apps doit désactiver l’accès réseau externe Désactivez l’accès au réseau externe à vos applications conteneur en appliquant des entrées internes uniquement. Cela garantit que la communication entrante pour Container Apps est limitée aux appelants dans l’environnement Container Apps. Audit, Refuser, Désactivé 1.0.1
Container Apps doit être accessible uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. La désactivation de « allowInsecure » entraîne la redirection automatique des requêtes de HTTP vers HTTPS pour les applications de conteneur. Audit, Refuser, Désactivé 1.0.1
L’identité managée doit être activée pour les Container Apps L’application de l’identité managée garantit que Container Apps peut s’authentifier de manière sécurisée auprès de n’importe quelle ressource prenant en charge l’authentification Azure AD Audit, Refuser, Désactivé 1.0.1

Instance de conteneur

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le groupe de conteneurs Azure Container Instances doit être déployé dans un réseau virtuel Sécurisez les communications entre vos conteneurs avec les réseaux virtuels Azure. Lorsque vous spécifiez un réseau virtuel, les ressources au sein du réseau virtuel peuvent communiquer en toute sécurité et en privé entre elles. Audit, Désactivé, Refus 2.0.0
Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé, Refus 1.0.0
Configurer les paramètres de diagnostic des groupes de conteneurs dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic des instances de conteneur pour diffuser en continu des journaux de ressources vers un espace de travail Log Analytics quand n’importe quelle instance de conteneur qui n’a pas ces paramètres de diagnostic est créée ou mise à jour. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0

Container Instances

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer les diagnostics pour le groupe de conteneurs dans l’espace de travail Log Analytics Ajoute les champs workspaceId et workspaceKey spécifiés de l’analytique des journaux d’activité quand un groupe de conteneurs dont ces champs sont manquants est créé ou mis à jour. Ne modifie pas les champs des groupes de conteneurs créés avant l’application de cette stratégie, tant que ces groupes de ressources ne sont pas modifiés. Ajouter, Désactivé 1.0.0

Container Registry

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer les registres de conteneurs pour désactiver l’authentification anonyme. Désactivez l’extraction anonyme pour votre registre afin que les données ne soient pas accessibles par un utilisateur non authentifié. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.0
Configurez les registres de conteneurs pour désactiver l’authentification par jeton d’audience ARM. Désactivez les jetons d’audience ARM Azure Active Directory pour l’authentification auprès de votre registre. Seuls les jetons d’audience Azure Container Registry (ACR) seront utilisés pour l’authentification. Cela garantit que seuls les jetons destinés à l’utilisation sur le Registre peuvent être utilisés pour l’authentification. La désactivation des jetons d’audience ARM n’affecte pas l’authentification de l’utilisateur administrateur ou des jetons d’accès étendus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.0
Configurer les registres de conteneurs pour désactiver le compte administrateur local. Désactivez le compte administrateur de votre registre afin que l’administrateur local ne puisse pas y accéder. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.1
Configurer les registres de conteneurs pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour votre ressource de registre de conteneurs afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. Modifier, Désactivé 1.0.0
Configurer les registres de conteneurs pour désactiver le jeton d’accès délimité par le référentiel. Désactivez les jetons d’accès délimités par le référentiel pour votre registre afin que les référentiels ne soient pas accessibles par les jetons. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.0
Configurer les registres de conteneurs pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en votre registre de conteneurs. Pour en savoir plus : https://aka.ms/privatednszone et https://aka.ms/acr/private-link. DeployIfNotExists, Désactivé 1.0.1
Configurer les registres de conteneurs avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources de registre de conteneurs Premium, vous pouvez réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/privateendpoints et https://aka.ms/acr/private-link. DeployIfNotExists, Désactivé 1.0.0
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. Audit, Refuser, Désactivé 1.1.2
L’authentification anonyme des registres de conteneurs doit être désactivée. Désactivez l’extraction anonyme pour votre registre afin que les données ne soient pas accessibles par un utilisateur non authentifié. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.0
L’authentification du jeton d’audience ARM doit être désactivée pour les registres de conteneurs. Désactivez les jetons d’audience ARM Azure Active Directory pour l’authentification auprès de votre registre. Seuls les jetons d’audience Azure Container Registry (ACR) seront utilisés pour l’authentification. Cela garantit que seuls les jetons destinés à l’utilisation sur le Registre peuvent être utilisés pour l’authentification. La désactivation des jetons d’audience ARM n’affecte pas l’authentification de l’utilisateur administrateur ou des jetons d’accès étendus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.0
Les exportations doivent être désactivées pour les registres de conteneurs La désactivation des exportations améliore la sécurité en s’assurant que les données d’un registre sont accessibles uniquement via le plan de données (« docker pull »). Les données ne peuvent pas être déplacées hors du registre via « acr import » ni via « acr transfer ». Pour désactiver les exportations, l’accès au réseau public doit être désactivé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/export-policy. Audit, Refuser, Désactivé 1.0.0
Le compte administrateur local des registres de conteneurs doit être désactivé. Désactivez le compte administrateur de votre registre afin que l’administrateur local ne puisse pas y accéder. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.1
Le jeton d’accès délimité par le référentiel des registres de conteneurs doit être désactivé. Désactivez les jetons d’accès délimités par le référentiel pour votre registre afin que les référentiels ne soient pas accessibles par les jetons. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.0
Les registres de conteneurs doivent avoir des références SKU qui prennent en charge les liaisons privées Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Refuser, Désactivé 1.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent empêcher la création de règles de cache Désactivez la création de règles de cache pour votre registre de conteneurs Azure afin d’empêcher le tirage avec des tirages de cache. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/cache. Audit, Refuser, Désactivé 1.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
L’accès réseau public doit être désactivé pour les registres de conteneurs La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les registres de conteneurs ne sont pas exposés sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources de registre de conteneurs. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. Audit, Refuser, Désactivé 1.0.0

Cosmos DB

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.0.0
Les comptes Azure Cosmos DB ne doivent pas dépasser le nombre maximal de jours autorisés depuis la dernière regénération de clé de compte. Regénérez vos clés dans le délai spécifié pour protéger davantage vos données. Audit, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Localisations Azure Cosmos DB autorisées Cette stratégie vous permet de limiter les localisations que votre organisation peut spécifier pendant le déploiement de ressources Azure Cosmos DB. Utilisez-la pour appliquer vos exigences de conformité géographique. [parameters('policyEffect')] 1.1.0
L’accès en écriture des métadonnées basé sur une clé Azure Cosmos DB doit être désactivé Cette stratégie vous permet de vérifier que tous les comptes Azure Cosmos DB désactivent l’accès en écriture des métadonnées basé sur une clé. append 1.0.0
Azure Cosmos DB doit désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte CosmosDB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Refuser, Désactivé 1.0.0
Le débit Azure Cosmos DB doit être limité Cette stratégie vous permet de limiter le débit maximal que votre organisation peut spécifier pendant la création de bases de données et de conteneurs Azure Cosmos DB via le fournisseur de ressources. La création de ressources de mise à l’échelle automatique est bloquée. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Configurer les comptes de base de données Cosmos DB pour désactiver l’authentification locale Désactivez les méthodes d'authentification locale afin que vos comptes de base de données Cosmos DB requièrent exclusivement les identités Azure Active Directory pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modifier, Désactivé 1.1.0
Configurer les comptes CosmosDB pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre ressource CosmosDB afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modifier, Désactivé 1.0.1
Configurer les comptes CosmosDB pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résoudre en compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 2.0.0
Configurer les comptes CosmosDB avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte CosmosDB, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes de base de données Cosmos DB nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Refuser, Désactivé 1.1.0
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer Advanced Threat Protection pour les comptes Cosmos DB Cette stratégie active Advanced Threat Protection sur les comptes Cosmos DB. DeployIfNotExists, Désactivé 1.0.0

Fournisseur personnalisé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déployer des associations pour un fournisseur personnalisé Déploie une ressource d’association qui associe les types de ressources sélectionnés au fournisseur personnalisé spécifié. Ce déploiement de stratégie ne prend pas en charge les types de ressources imbriqués. deployIfNotExists 1.0.0

Data Box

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. Audit, Refuser, Désactivé 1.0.0

Data Factory

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Les pipelines Azure Data Factory ne doivent communiquer qu’avec des domaines autorisés Pour empêcher l’exfiltration de données et de jetons, définissez les domaines avec lesquels Azure Data Factory doit être autorisé à communiquer. Remarque : en préversion publique, la conformité de cette stratégie n’est pas signalée et, pour que la stratégie soit appliquée à Data Factory, activez la fonctionnalité des règles de trafic sortant dans le studio ADF. Pour plus d’informations, consultez https://aka.ms/data-exfiltration-policy. Deny, Disabled 1.0.0-preview
Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. Audit, Refuser, Désactivé 1.0.1
Le runtime d’intégration Azure Data Factory doit avoir une limite pour le nombre de cœurs Pour gérer vos ressources et les coûts, limitez le nombre de cœurs pour un runtime d’intégration. Audit, Refuser, Désactivé 1.0.0
Le type de ressource de service lié Azure Data Factory doit figurer dans la liste verte Définir la liste verte des types de services liés Azure Data Factory. La restriction des types de ressources autorisés permet de contrôler la limite du déplacement des données. Par exemple, définissez une étendue afin d’autoriser uniquement le stockage d’objets blob avec Data Lake Storage Gen1 et Gen2 à des fins d’analytique, ou une étendue afin d’autoriser uniquement l’accès à SQL et Kusto pour les requêtes en temps réel. Audit, Refuser, Désactivé 1.1.0
Les services liés Azure Data Factory doivent utiliser Key Vault pour le stockage des secrets Pour garantir la gestion sécurisée des secrets (tels que les chaînes de connexion), demandez aux utilisateurs de fournir des secrets à l’aide d’un coffre de clés Azure au lieu de les spécifier inline dans les services liés. Audit, Refuser, Désactivé 1.0.0
Les services liés Azure Data Factory doivent utiliser l’authentification par une identité managée affectée par le système lorsqu’elle est prise en charge L’utilisation d’une identité managée affectée par le système lors de la communication avec les magasins de données par le biais de services liés permet d’éviter l’utilisation d’informations d’identification moins sécurisées, telles que les mots de passe ou les chaînes de connexion. Audit, Refuser, Désactivé 2.1.0
Azure Data Factory doit utiliser un dépôt Git pour le contrôle de code source Configurez uniquement votre fabrique de données de développement avec l’intégration Git. Les modifications apportées au niveau du test et de la production doivent être déployées par le biais de CI/CD et ne doivent PAS avoir d’intégration Git. N’appliquez PAS cette stratégie à vos fabriques de données AQ / de test / de production. Audit, Refuser, Désactivé 1.0.1
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Configurer les fabriques de données pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre fabrique de données afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modifier, Désactivé 1.0.0
Configurer des zones DNS privées pour les points de terminaison privés qui se connectent à Azure Data Factory Les enregistrements DNS privés permettent d’établir des connexions privées aux points de terminaison privés. Les connexions de points de terminaison privés permettent une communication sécurisée en fournissant une connectivité privée à Azure Data Factory sans nécessiter d’adresses IP publiques à la source ou à la destination. Pour plus d’informations sur les points de terminaison privés et les zones DNS dans Azure Data Factory, consultez https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Désactivé 1.0.0
Configurer des points de terminaison privés pour les fabriques de données Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Data Factory, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Désactivé 1.1.0
L’accès au réseau public sur Azure Data Factory doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure Data Factory n’est accessible qu’à partir d’un point de terminaison privé. Audit, Refuser, Désactivé 1.0.0
Les runtimes d’intégration SQL Server Integration Services sur Azure Data Factory doivent être joints à un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et un isolement supérieur pour vos runtimes d’intégration SQL Server Integration Services sur Azure Data Factory, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Audit, Refuser, Désactivé 2.3.0

Data Lake

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Exiger un chiffrement sur les comptes Data Lake Store Cette stratégie garantit que le chiffrement est activé sur tous les comptes Data Lake Store deny 1.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Virtualisation des postes de travail

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les pools d’hôtes Azure Virtual Desktop doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité et protège vos données en veillant à ce que l’accès au service Azure Virtual Desktop ne soit pas exposé à l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. Audit, Refuser, Désactivé 1.0.0
Les pools d’hôtes Azure Virtual Desktop doivent désactiver l’accès au réseau public uniquement sur les hôtes de session La désactivation de l’accès au réseau public pour vos hôtes de session de pool d’hôtes Azure Virtual Desktop, tout en autorisant l’accès public pour les utilisateurs finaux, améliore la sécurité en limitant l’exposition à l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. Audit, Refuser, Désactivé 1.0.0
Le service Azure Virtual Desktop doit utiliser une liaison privée L’utilisation d’Azure Private Link avec vos ressources Azure Virtual Desktop peut améliorer la sécurité et protéger vos données. En savoir plus sur les liaisons privées : https://aka.ms/avdprivatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Virtual Desktop doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public pour votre ressource d’espace de travail Azure Virtual Desktop empêche l’accès du flux sur l’Internet public. Autoriser uniquement l’accès réseau privé améliore la sécurité et protège vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. Audit, Refuser, Désactivé 1.0.0
Configurer les ressources du pool d’hôtes Azure Virtual Desktop pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résolution des ressources liées à Azure Virtual Desktop. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer des pools d’hôtes Azure Virtual Desktop pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour les hôtes de session et les utilisateurs finaux sur votre ressource de pool d’hôtes Azure Virtual Desktop afin qu’elle ne soit pas accessible via l’Internet public. Cela améliore la sécurité et sécurise vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. Modifier, Désactivé 1.0.0
Configurer des pools d’hôtes Azure Virtual Desktop pour désactiver l’accès uniquement pour les hôtes de session Désactivez l’accès réseau public pour vos hôtes de session de pool d’hôtes Azure Virtual Desktop, mais autorisez l’accès public pour les utilisateurs finaux. Cela permet aux utilisateurs d’accéder toujours au service AVD tout en veillant à ce que l’hôte de session soit accessible uniquement via des itinéraires privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. Modifier, Désactivé 1.0.0
Configurer des pools d’hôtes Azure Virtual Desktop avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources Azure Virtual Desktop, vous pouvez améliorer la sécurité et protéger vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. DeployIfNotExists, Désactivé 1.0.0
Configurer les ressources d’espace de travail Azure Virtual Desktop pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résolution des ressources liées à Azure Virtual Desktop. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer des espaces de travail Azure Virtual Desktop pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre ressource d’espace de travail Azure Virtual Desktop afin que le flux ne soit pas accessible via l’Internet public. Cela améliore la sécurité et sécurise vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. Modifier, Désactivé 1.0.0
Configurer des espaces de travail Azure Virtual Desktop avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources Azure Virtual Desktop, vous pouvez améliorer la sécurité et protéger vos données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/avdprivatelink. DeployIfNotExists, Désactivé 1.0.0

DevCenter

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Microsoft Dev Box Pools ne doit pas utiliser Microsoft Hosted Networks. Interdit l’utilisation de Microsoft Hosted Networks lors de la création de ressources de pool. Audit, Refuser, Désactivé 1.0.0-preview

ElasticSan

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Elastic SAN doit désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre instance Elastic SAN afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Audit, Refuser, Désactivé 1.0.0
Le groupe de volumes ElasticSan doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre groupe de volume. Par défaut, les données client sont chiffrées avec des clés gérées par la plateforme, mais des clés gérées par le client sont généralement nécessaires pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent aux données d’être chiffrées avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle total et une responsabilité, notamment la rotation et la gestion. Audit, Désactivé 1.0.0
Le groupe de volumes Elastic SAN doit utiliser des points de terminaison privés Les points de terminaison privés permettent à l’administrateur de connecter des réseaux virtuels à des services Azure sans IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés au groupe de volumes, l’administrateur peut réduire les risques de fuite de données. Audit, Désactivé 1.0.0

Event Grid

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les domaines Azure Event Grid doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les domaines Azure Event Grid La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les domaines Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Audit, Refuser, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Le MQTT broker de l’espace de noms Azure Event Grid doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre espace de noms Event Grid plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. Audit, Désactivé 1.0.0
Le répartiteur de rubriques de l’espace de noms Azure Event Grid doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre espace de noms Event Grid plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. Audit, Désactivé 1.0.0
Les espaces de noms Azure Event Grid doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les espaces de noms partenaires Azure Event Grid La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms partenaires Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Audit, Refuser, Désactivé 1.0.0
Les rubriques Azure Event Grid doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les rubriques Azure Event Grid La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les rubrique Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Audit, Refuser, Désactivé 1.0.0
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Configurer les domaines Azure Event Grid pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos domaines Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Modifier, Désactivé 1.0.0
Configurer le MQTT broker de l’espace de noms Azure Event Grid avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Désactivé 1.0.0
Configurer des espaces de noms Azure Event Grid avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, Désactivé 1.0.0
Configurer les espaces de noms partenaires Azure Event Grid pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos espaces de noms partenaires Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Modifier, Désactivé 1.0.0
Configurer les rubriques Azure Event Grid pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos rubrique Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Modifier, Désactivé 1.0.0
Déployer : configurer des domaines Azure Event Grid pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Désactivé 1.1.0
Déployer : configurer des domaines Azure Event Grid avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. DeployIfNotExists, Désactivé 1.0.0
Déployer : configurer des rubriques Azure Event Grid pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Désactivé 1.1.0
Déployer : configurer des rubriques Azure Event Grid avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. DeployIfNotExists, Désactivé 1.0.0
Modifier - Configurer des domaines Azure Event Grid pour désactiver l’accès réseau public Désactivez l’accès réseau public pour la ressource Azure Event Grid afin qu’elle ne soit pas accessible via l’Internet public. Cela vous aidera à la protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0
Modifier - Configurer des rubriques Azure Event Grid pour désactiver l’accès réseau public Désactivez l’accès réseau public pour la ressource Azure Event Grid afin qu’elle ne soit pas accessible via l’Internet public. Cela vous aidera à la protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0

Event Hub

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Toutes les règles d’autorisation, sauf RootManageSharedAccessKey, doivent être supprimées de l’espace de noms Event Hub Les clients Event Hub ne doivent pas utiliser une stratégie d'accès au niveau de l'espace de noms qui donne accès à l'ensemble des files d'attente et rubriques d'un espace de noms. Pour respecter le modèle de sécurité basé sur le privilège minimum, vous devez créer des stratégies d’accès au niveau de l’entité pour les files d’attente et les rubriques afin de limiter l’accès à l’entité spécifique Audit, Refuser, Désactivé 1.0.1
Les règles d’autorisation sur l’instance Event Hub doivent être définies Auditer l’existence de règles d’autorisation sur les entités Event Hub pour accorder un accès à privilèges minimum AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Azure Event Hub doivent avoir des méthodes d’authentification locales désactivées La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms Azure Event Hub imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-eh. Audit, Refuser, Désactivé 1.0.1
Configurer des espaces de noms Azure Event Hub pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos espaces de noms Azure Event Hub imposent exclusivement des identités Microsoft Entra ID pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-eh. Modifier, Désactivé 1.0.1
Configurer des espaces de noms Event Hub pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espace de noms Event Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Désactivé 1.0.0
Configurer des espaces de noms Event Hub avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de noms Event Hub, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent désactiver l’accès au réseau public L’accès au réseau public doit être désactivé pour Azure Event Hub. La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Plus d’informations sur : https://docs.microsoft.com/azure/event-hubs/private-link-service Audit, Refuser, Désactivé 1.0.0
Le chiffrement double doit être activé pour les espaces de noms du hub d’événements Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. Audit, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Relais Fluid

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Relais Fluid doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs Fluid Relay. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des CMK sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent aux données d’être chiffrées avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle total et une responsabilité, notamment la rotation et la gestion. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, Désactivé 1.0.0

Général

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Emplacements autorisés Cette stratégie vous permet de restreindre les emplacements que votre organisation peut spécifier lors du déploiement de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. Exclut les groupes de ressources, Microsoft.azureactivedirectory/b2cdirectories et les ressources qui utilisent la région « globale ». deny 1.0.0
Emplacements autorisés pour les groupes de ressources Cette stratégie vous permet de restreindre les emplacements où votre organisation peut créer des groupes de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. deny 1.0.0
Types de ressources autorisés Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut déployer. Seuls les types de ressources prenant en charge « tags » et « location » sont affectés par cette stratégie. Pour restreindre toutes les ressources, dupliquez cette stratégie et affectez à « mode » la valeur « All ». deny 1.0.0
Vérifier que l’emplacement de la ressource correspond à l’emplacement du groupe de ressources Vérifie que l’emplacement de la ressource correspond à l’emplacement de son groupe de ressources audit 2.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Configurer des abonnements pour configurer des fonctionnalités d’évaluation Cette stratégie évalue les fonctionnalités d’évaluation de l’abonnement existant. Les abonnements peuvent être corrigés pour s’inscrire à une nouvelle fonctionnalité d’évaluation. Les nouveaux abonnements ne seront pas automatiquement inscrits. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.1
Ne pas autoriser la suppression des types de ressource Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut protéger d’une suppression accidentelle en bloquant les appels de suppression à l’aide d’un effet d’action de refus. DenyAction, Désactivé 1.0.1
Ne pas autoriser les ressources M365 Bloquer la création de ressources M365. Audit, Refuser, Désactivé 1.0.0
Ne pas autoriser les ressources MCPP Bloquer la création de ressources MCPP. Audit, Refuser, Désactivé 1.0.0
Exclure les ressources des coûts d’utilisation Cette stratégie vous permet d’exclure des ressources de coûts d’utilisation. Les coûts d’utilisation incluent des éléments tels que le stockage mesuré et les ressources Azure qui sont facturées en fonction de l’utilisation. Audit, Refuser, Désactivé 1.0.0
Types de ressources non autorisés Limitez les types de ressources qui peuvent être déployés dans votre environnement. La limitation des types de ressources peut réduire la complexité et la surface d’attaque de votre environnement, tout en aidant à gérer les coûts. Les résultats de conformité s’affichent uniquement pour les ressources non conformes. Audit, Refuser, Désactivé 2.0.0

Guest Configuration

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Ajouter une identité managée affectée par l’utilisateur pour activer les affectations Guest Configuration sur les machines virtuelles Cette stratégie ajoute une identité managée affectée par l’utilisateur aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration. Une identité managée affectée par l’utilisateur est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Désactivé 2.1.0-preview
[Préversion] : Configurer Windows Server pour désactiver les utilisateurs locaux. Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur Windows Server. Cela garantit que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. DeployIfNotExists, Désactivé 1.2.0-preview
[Préversion] : les mises à jour de sécurité étendues doivent être installées sur les machines Arc Windows Server 2012. Les machines Arc Windows Server 2012 doivent avoir installé toutes les mises à jour de sécurité étendues publiées par Microsoft. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, consultez https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure pour les hôtes Docker Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La machine n'est pas configurée correctement pour l'une des recommandations de la base de référence de sécurité Azure pour les hôtes Docker. AuditIfNotExists, Désactivé 1.2.0-preview
[Préversion] : Les machines Linux doivent respecter l’exigence de conformité STIG pour le calcul Azure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes suggestions de l’exigence de conformité STIG pour le calcul Azure. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. AuditIfNotExists, Désactivé 1.2.0-preview
[Préversion] : Les machines Linux avec OMI installé doivent avoir la version 1.6.8-1 ou ultérieure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. En raison d’un correctif de sécurité inclus dans la version 1.6.8-1 du package OMI pour Linux, toutes les machines doivent être mises à jour vers la dernière version. Mettez à niveau les applications/packages qui utilisent OMI pour résoudre le problème. Pour plus d’informations, consultez https://aka.ms/omiguidance. AuditIfNotExists, Désactivé 1.2.0-preview
[Préversion] : les machines de calcul Nexus doivent respecter la base de référence de sécurité Utilise l’agent Azure Policy Guest Configuration pour l’audit. Cette stratégie garantit que les machines adhèrent à la base de référence de sécurité de calcul Nexus, englobant diverses recommandations conçues pour renforcer les machines contre une plage de vulnérabilités et de configurations non sécurisées (Linux uniquement). AuditIfNotExists, Désactivé 1.1.0-preview
[Préversion] : Les machines Windows doivent respecter les exigences de conformité STIG pour le calcul Azure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines sont non conformes si elles ne sont pas configurées correctement par rapport à l’une des recommandations des exigences de conformité STIG pour Azure Compute. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. AuditIfNotExists, Désactivé 1.0.0-preview
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.1.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Linux qui n’ont pas les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre ne sont pas installés. AuditIfNotExists, Désactivé 4.2.0
Auditer les machines Linux qui ont des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Linux qui ont les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre sont installés. AuditIfNotExists, Désactivé 4.2.0
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer la connectivité réseau des machines Windows Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’état d’une connexion réseau à un port IP et TCP ne correspond pas au paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-DSCConfigurationStatus retourne que la configuration DSC pour la machine n’est pas conforme. auditIfNotExists 3.0.0
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution » Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le résultat de la commande Windows PowerShell Get-Service n’inclut pas le nom du service dont l’état correspond à celui spécifié par le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le logiciel de console série n’est pas installé sur la machine ou si le numéro de port EMS ou la vitesse en bauds ne sont pas configurés avec les mêmes valeurs que les paramètres de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 AuditIfNotExists, Désactivé 2.1.0
Vérifier que les machines Windows ne sont pas jointes au domaine spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété Domain dans la classe WMI win32_computersystem ne correspond pas à la valeur du paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété StandardName dans la classe WMI Win32_TimeZone ne correspond pas au fuseau horaire sélectionné pour le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. auditIfNotExists 2.0.0
Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-ExecutionPolicy retourne une valeur différente de celle sélectionnée dans le paramètre de stratégie. AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si un module n’est pas disponible à un emplacement spécifié par la variable d’environnement PSModulePath. AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui n’ont pas les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est introuvable dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui n’ont pas redémarré dans le nombre spécifié de jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la propriété WMI LastBootUpTime dans la classe Win32_Operatingsystem est en dehors de la plage de jours spécifiée par le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est présent dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines virtuelles Windows avec un redémarrage en attente Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique. auditIfNotExists 2.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.2.0
Configurez le serveur Linux pour désactiver les utilisateurs locaux. Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur un serveur Linux. Cela garantit que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. DeployIfNotExists, Désactivé préversion-1.3.0
Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des machines Windows Crée une affectation Guest Configuration pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur la machine Windows. DeployIfNotExists, Désactivé 1.0.1
Configurer le fuseau horaire sur les machines Windows. Cette stratégie crée une attribution Guest Configuration pour définir le fuseau horaire spécifié sur des machines virtuelles Windows. deployIfNotExists 2.1.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
L’agent Log Analytics doit être installé sur les machines Linux sur Azure Arc Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur le serveur Linux avec Azure Arc. AuditIfNotExists, Désactivé 1.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.2.0
Les machines Linux doivent disposer uniquement de comptes locaux autorisés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. AuditIfNotExists, Désactivé 2.2.0
Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour y remédier. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.2.1
Les méthodes d’authentification locales doivent être désactivées sur les ordinateurs Linux Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Linux n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. AuditIfNotExists, Désactivé 1.2.0-preview
Les méthodes d’authentification locales doivent être désactivées sur Serveurs Windows Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Windows n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. AuditIfNotExists, Désactivé 1.0.0-preview
Les points de terminaison privés pour les affectations de Guest Configuration doivent être activés Les connexions de points de terminaison privés appliquent une communication sécurisée en activant la connectivité privée à Guest Configuration pour les machines virtuelles. Les machines virtuelles seront non conformes à moins qu’elles comportent l’étiquette « EnablePrivateNetworkGC ». Cette étiquette applique une communication sécurisée par le biais d’une connectivité privée à Guest Configuration pour les machines virtuelles. La connectivité privée limite l’accès au trafic provenant de réseaux connus et empêche l’accès à partir de toutes les autres adresses IP, notamment dans Azure. Audit, Refuser, Désactivé 1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1
Les machines Windows doivent configurer Windows Defender pour mettre à jour les signatures de protection dans un délai d’un jour Pour fournir une protection adéquate contre les nouveaux programmes malveillants, les signatures de protection Windows Defender doivent être mises à jour régulièrement pour tenir compte des nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
Les machines Windows doivent activer la protection en temps réel Windows Defender Les machines Windows doivent activer la protection en temps réel dans Windows Defender pour fournir une protection adéquate contre les nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur les machines Windows sur Azure Arc Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur un serveur Windows avec Azure Arc. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Panneau de configuration » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Panneau de configuration » pour la personnalisation de l’entrée et la prévention de l’activation des écrans de verrouillage. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - MSS (hérité) » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - MSS (hérité) » pour l’ouverture de session automatique, l’économiseur d’écran, le comportement réseau, la DLL sécurisée et le journal des événements. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Réseau » pour les ouvertures de session d’invité, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Système » pour les paramètres qui contrôlent l’expérience administrative et l’assistance à distance. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l’utilisation par le compte local de mots de passe vides et pour l’état du compte Invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer les sous-catégories de stratégie d’audit et pour l’arrêt en cas d’incapacité à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Appareils » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Appareils » pour la désancrage sans ouverture de session, l’installation des pilotes d’impression et le formatage/éjection de médias. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Ouverture de session interactive » pour afficher le nom du dernier utilisateur et exiger Ctrl-Alt-Suppr. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences pour « Options de sécurité - Client réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour le client/serveur réseau Microsoft et SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Arrêt » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Arrêt » pour autoriser l’arrêt sans ouverture de session et l’effacement du fichier d’échange de mémoire virtuelle. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Objets système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Objets système » pour le non-respect de la casse pour les sous-systèmes non-Windows et les autorisations des objets système internes. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Paramètres système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Paramètres système » pour les règles de certificat sur les exécutables pour SRP et les sous-systèmes facultatifs. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d’utilisateur » pour le mode pour les administrateurs, le comportement d’invite d’élévation et la virtualisation des échecs d’écriture dans les fichiers et les registres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l’historique, l’âge, la longueur et la complexité des mots de passe, et leur stockage à l’aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Connexion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Connexion de compte » pour l’audit de la validation des informations d’identification et d’autres événements d’ouverture de session de compte. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Gestion de compte » pour l’audit de la gestion des applications, de la sécurité et des groupes d’utilisateurs, et d’autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Ouverture et fermeture de session » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Ouverture et fermeture de session » pour l’audit d’IPSec, de la stratégie réseau, des revendications, du verrouillage de compte, de l’appartenance au groupe et des événements d’ouverture/de fermeture de session. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Accès aux objets » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Accès aux objets » pour l’audit des fichiers, du Registre, de SAM, du stockage, du filtrage, du noyau et d’autres types de système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Changement de stratégie » pour l’audit des modifications apportées aux stratégies d’audit du système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Utilisation de privilège » pour l’audit de l’utilisation des privilèges non sensibles et autres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Système » pour l’audit du pilote IPsec, de l’intégrité du système, de l’extension système, du changement d’état et d’autres événements système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution de droits de l’utilisateur » pour autoriser l’ouverture de session localement, RDP, l’accès à partir du réseau et plusieurs autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Composants Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Composants Windows » pour l’authentification de base, le trafic non chiffré, les comptes Microsoft, la télémétrie, Cortana et d’autres comportements de Windows. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Propriétés de pare-feu Windows » pour l’état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent disposer uniquement de comptes locaux autorisés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent planifier Windows Defender pour effectuer une analyse planifiée tous les jours Pour garantir une détection rapide des programmes malveillants et réduire leur impact sur votre système, nous vous recommandons de planifier une analyse quotidienne sur les machines Windows avec Windows Defender. Veuillez vérifier que Windows Defender est pris en charge, préinstallé sur l’appareil et que les éléments prérequis par Guest Configuration sont déployés. Le non-respect de ces exigences peut entraîner des résultats d’évaluation imprécis. Vous pouvez obtenir plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.2.0
Les machines Windows doivent utiliser le serveur NTP par défaut Configurez « time.windows.com » comme serveur NTP par défaut pour toutes les machines Windows pour vous assurer que les journaux d’activité sur tous les systèmes ont des horloges système synchronisées. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost. Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour y remédier. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.1.1

HDInsight

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les clusters Azure HDInsight doivent être injectés dans un réseau virtuel L’injection de clusters Azure HDInsight dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau de HDInsight, et vous permet de contrôler la configuration de la sécurité de votre réseau. Audit, Désactivé, Refus 1.0.0
Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Audit, Refuser, Désactivé 1.0.0
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. Audit, Refuser, Désactivé 1.0.0
Azure HDInsight devrait utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/hdi.pl. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure HDInsight clusters pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour les clusters HDInsight. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/hdi.pl. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Azure HDInsight avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/hdi.pl. DeployIfNotExists, Désactivé 1.0.0

Health Bot

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les instances Azure Health Bot doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos des données de vos healthbots. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, voir https://docs.microsoft.com/azure/health-bot/cmk Audit, Désactivé 1.0.0

Espace de travail Services de données de santé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’espace de travail Services de données de santé Azure doit utiliser une liaison privée L’espace de travail Services de données de santé doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/healthcareapisprivatelink. Audit, Désactivé 1.0.0

API Healthcare

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
CORS ne doit pas autoriser tous les domaines à accéder à votre service FHIR Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre service FHIR. Pour protéger votre service FHIR, supprimez l’accès pour tous les domaines et définissez explicitement les domaines autorisés à se connecter. audit, Audit, désactivé, Désactivé 1.1.0
Service DICOM doit utiliser une clé gérée par le client pour chiffrer des données au repos Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans les Services DICOM de Services de données de santé Azure lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. Audit, Désactivé 1.0.0
Fast Healthcare Interoperability Resources (FHIR) doit utiliser une clé gérée par le client pour chiffrer des données au repos Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans le service FHIR de Services de données de santé Azure lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. Audit, Désactivé 1.0.0

Internet des objets

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Azure IoT Hub doit utiliser une clé gérée par le client pour chiffrer les données au repos Le chiffrement des données au repos dans IoT Hub avec une clé gérée par le client ajoute une deuxième couche de chiffrement sur les clés gérées par défaut, et permet au client de contrôler les clés, les stratégies de rotation personnalisées et l’accès aux données avec le contrôle d’accès par clé. Les clés gérées par le client doivent être configurées lors de la création de l’instance IoT Hub. Pour plus d’informations sur la configuration des clés gérées par le client, consultez https://aka.ms/iotcmk. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. Audit, Refuser, Désactivé 1.0.0-preview
Les comptes Azure Device Update doivent utiliser une clé gérée par le client pour chiffrer les données au repos Le chiffrement des données au repos dans Azure Device Update avec une clé gérée par le client ajoute une deuxième couche de chiffrement sur les clés gérées par le service par défaut, et permet au client de contrôler les clés, les stratégies de rotation personnalisées et l’accès aux données avec le contrôle d’accès avec des clés. En savoir plus sur :https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Device Update pour IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des comptes Azure Device Update pour IoT Hub, les risques de fuite de données sont réduits. AuditIfNotExists, Désactivé 1.0.0
Dans Azure IoT Hub, les méthodes d’authentification locale doivent être désactivées pour les API de service La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’Azure IoT Hub exigera exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. Audit, Refuser, Désactivé 1.0.0
Configurer les comptes Azure Device Update pour IoT Hub pour désactiver l’accès réseau public Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Device IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur Device Update pour les ressources IoT Hub. Modifier, Désactivé 1.0.0
Configurer les comptes Azure Device Update pour IoT Hub afin d’utiliser des zones DNS privées Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour Device Update pour des points de terminaison IoT Hub privés. DeployIfNotExists, Désactivé 1.0.0
Configurer les comptes Azure Device Update pour IoT Hub avec un point de terminaison privé Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance Device Update pour IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre cette ressource sans que le trafic soit envoyé au point de terminaison public de Device Update pour IoT Hub. DeployIfNotExists, Désactivé 1.1.0
Configurer Azure IoT Hub pour désactiver l’authentification locale Désactivez les méthodes d’authentification locale afin que votre instance Azure IoT Hub exige exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. Modifier, Désactivé 1.0.0
Configurer des instances de provisionnement d’appareils IoT Hub pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour être résolue en une instance de service de provisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. DeployIfNotExists, Désactivé 1.0.0
Configurer des instances de service d’approvisionnement d’appareils IoT Hub pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre instance de provisionnement d’appareils IoT Hub afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. Modifier, Désactivé 1.0.0
Configurer des instances de service de provisionnement d’appareils IoT Hub avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés au service d’approvisionnement d’appareils IoT Hub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. DeployIfNotExists, Désactivé 1.0.0
Déploiement : configurer Azure IoT Hub pour utiliser des zones DNS privées Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour des points de terminaison IoT Hub privés. deployIfNotExists, DeployIfNotExists, désactivé, Désactivé 1.1.0
Déploiement : Configurer Azure IoT Hub avec des points de terminaison privés Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre IoT Hub sans que le trafic soit envoyé au point de terminaison public d’IoT Hub. DeployIfNotExists, Désactivé 1.0.0
Déployer – Configurer IoT Central pour utiliser des zones DNS privées Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour des points de terminaison IoT Hub Central. DeployIfNotExists, Désactivé 1.0.0
Déployer – Configurer IoT Central avec des points de terminaison privés Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Central afin de permettre aux services de votre réseau virtuel d’atteindre IoT Central sans que le trafic soit envoyé au point de terminaison public d’IoT Central. DeployIfNotExists, Désactivé 1.0.0
IoT Central doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre application IoT Central au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotcentral-network-security-using-pe. Audit, Refuser, Désactivé 1.0.0
Les instances du service d’approvisionnement d’appareils IoT Hub doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que l’instance de service de provisionnement d’appareils IoT Hub n’est pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des instances d’approvisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. Audit, Refuser, Désactivé 1.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Modifier - Configurer Azure IoT Hub pour désactiver l’accès au réseau public Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. Modifier, Désactivé 1.0.0
Modifier – Configurer IoT Central pour désactiver l'accès réseau public Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données IoT Central n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. Modifier, Désactivé 1.0.0
Le point de terminaison privé doit être activé pour IoT Hub Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à IoT Hub. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. Audit, Désactivé 1.0.0
L’accès au réseau public pour Azure Device Update pour les comptes IoT Hub doit être désactivé La désactivation de la propriété d’accès au réseau public améliore la sécurité en veillant à ce que vos comptes Azure Device Update pour IoT Hub soient accessibles uniquement à partir d’un point de terminaison privé. Audit, Refuser, Désactivé 1.0.0
L’accès au réseau public sur Azure IoT Hub doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Audit, Refuser, Désactivé 1.0.0
L'accès réseau public doit être désactivé pour IoT Central Pour améliorer la sécurité d’IoT Central, vérifiez qu’il n’est pas exposé à l’Internet public et qu’il est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/iotcentral-restrict-public-access. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 1.0.0
Les journaux de ressources dans IoT Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 3.1.0

Key Vault

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Les clés HSM managé Azure Key Vault doivent avoir une date d’expiration Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. Audit, Refuser, Désactivé 1.0.1-preview
[Préversion] : Les clés HSM managé Azure Key Vault doivent avoir plus de jours que le nombre spécifié de jours avant l’expiration Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Audit, Refuser, Désactivé 1.0.1-preview
[Préversion] : Les clés HSM managé Azure Key Vault utilisant le chiffrement à courbe elliptique doivent avoir les noms de courbe spécifiés Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. Audit, Refuser, Désactivé 1.0.1-preview
[Préversion] : Les clés HSM managé Azure Key Vault utilisant le chiffrement RSA doivent avoir une taille de clé minimale spécifiée Pour utiliser cette stratégie en préversion, vous devez d’abord suivre ces instructions sur la page https://aka.ms/mhsmgovernance. Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. Audit, Refuser, Désactivé 1.0.1-preview
[Préversion] : Les HSM gérés par Azure Key Vault doivent désactiver l’accès réseau public Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les HSM gérés par Azure Key Vault doivent utiliser une liaison privée La liaison privée permet de connecter un HSM managé par le Coffre de clés Azure à vos ressources Azure sans envoyer de trafic sur l’Internet public. Un lien privé assure une protection en profondeur contre l’exfiltration des données. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, Désactivé 1.0.0-preview
[Préversion] : Les certificats doivent être émis par l’une des autorités de certification non intégrée spécifiée Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification personnalisées ou internes qui peuvent émettre des certificats dans votre coffre de clés. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Configurer un module de sécurité matériel (HSM) managé par Azure Key Vault pour désactiver l’accès réseau public Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modifier, Désactivé 2.0.0-preview
[Préversion] : Configurer un HSM géré par Azure Key Vault avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un HSM managé par le Coffre de clés Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Désactivé 1.0.0-preview
La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. Audit, Refuser, Désactivé 1.0.0
Azure Key Vault doit désactiver l’accès réseau public Désactivez l’accès réseau public pour que votre coffre de clés ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. Audit, Refuser, Désactivé 1.1.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 3.2.1
Azure Key Vault doit utiliser le modèle d’autorisation RBAC Activez le modèle d’autorisation RBAC sur les coffres de clés. Plus d’informations sur : https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration Audit, Refuser, Désactivé 1.0.1
Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Les certificats doivent être émis par l’autorité de certification intégrée spécifiée Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification intégrées à Azure qui peuvent émettre des certificats dans votre coffre de clés, comme DigiCert ou GlobalSign. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Les certificats doivent être émis par l’autorité de certification non intégrée spécifiée Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités d’une certification personnalisée ou interne qui peuvent émettre des certificats dans votre coffre de clés. audit, Audit, refus, Refus, désactivé, Désactivé 2.1.1
Les certificats doivent avoir les déclencheurs d’action de durée de vie spécifiés Gérez les exigences en matière de conformité de votre organisation en spécifiant si une action de durée de vie de certificat est déclenchée à un pourcentage spécifique de sa durée de vie ou un certain nombre de jours avant son expiration. audit, audit, refus, refus, désactivé, désactivé 2.1.0
La période de validité maximale doit être spécifiée pour les certificats Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. audit, Audit, refus, Refus, désactivé, Désactivé 2.2.1
Les certificats ne doivent pas expirer pendant le nombre de jours spécifié Gérez les certificats qui arrivent à expiration dans un nombre de jours spécifié pour que votre organisation ait suffisamment le temps de les remplacer. audit, Audit, refus, Refus, désactivé, Désactivé 2.1.1
Les certificats doivent utiliser des types de clés autorisés Gérez les exigences en matière de conformité de votre organisation en restreignant les types de clés autorisés pour les certificats. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Les certificats utilisant le chiffrement à courbe elliptique doivent avoir des noms de courbe autorisés Gérer les noms de courbe elliptique autorisés pour les certificats ECC stockés dans le coffre de clés. D’autres informations sont disponibles ici : https://aka.ms/akvpolicy. audit, audit, refus, refus, désactivé, désactivé 2.1.0
La taille de clé minimale doit être spécifiée pour les certificats utilisant le chiffrement RSA Gérez les exigences en matière de conformité de votre organisation en spécifiant une taille de clé minimale pour les certificats RSA stockés dans votre coffre de clés. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Configurer Azure Key Vault pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en coffre de clés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. DeployIfNotExists, Désactivé 1.0.1
Configurer les coffres de clés Azure avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. DeployIfNotExists, Désactivé 1.0.1
Configurer les coffres de clés pour activer le pare-feu Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez ensuite configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Modifier, Désactivé 1.1.1
Déployer - Configurer les paramètres de diagnostic d’Azure Key Vault dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’Azure Key Vault pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.1
Déployer - Configurer les paramètres de diagnostic sur un hub d’événements à activer sur un HSM managé par Azure Key Vault Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un hub d’événements régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Key Vault sur Event Hub Déploie les paramètres de diagnostic de Key Vault pour les envoyer en streaming dans un hub d’événements régional sur tout coffre de clés nouveau ou mis à jour pour lequel les paramètres de diagnostic sont manquants. DeployIfNotExists, Désactivé 3.0.1
Les clés Key Vault doivent avoir une date d’expiration Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. Audit, Refuser, Désactivé 1.0.2
Les secrets Key Vault doivent avoir une date d’expiration Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. Audit, Refuser, Désactivé 1.0.2
La protection contre la suppression doit être activée pour les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. Audit, Refuser, Désactivé 2.1.0
La suppression réversible doit être activée sur les coffres de clés La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. Audit, Refuser, Désactivé 3.0.0
Les clés doivent être adossées à un module de sécurité matériel ou HSM Un HSM est un module de sécurité matériel qui stocke des clés. Un HSM fournit une couche physique de protection des clés de chiffrement. La clé de chiffrement ne peut pas quitter un HSM physique, ce qui offre un niveau de sécurité supérieur à celui d’une clé logicielle. Audit, Refuser, Désactivé 1.0.1
Les clés doivent être du type de chiffrement spécifié, RSA ou EC Certaines applications requièrent l’utilisation de clés utilisant un type de chiffrement spécifique. Appliquez un type de clé de chiffrement particulier, RSA ou EC, dans votre environnement. Audit, Refuser, Désactivé 1.0.1
Les clés doivent avoir une stratégie de rotation garantissant que leur rotation est planifiée pour le nombre de jours spécifié après leur création. Gérez les exigences de conformité de votre organisation en spécifiant le nombre maximal de jours qui sépare la création de la clé de son pivotement. Audit, Désactivé 1.0.0
Les clés doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Audit, Refuser, Désactivé 1.0.1
La période de validité maximale doit être spécifiée pour les clés Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels une clé peut être valide au sein de votre coffre de clés. Audit, Refuser, Désactivé 1.0.1
Les clés ne doivent pas être actives pendant une durée supérieure au nombre de jours spécifié Spécifiez le nombre de jours pendant lesquels une clé doit être active. Les clés utilisées pendant une période prolongée augmentent la probabilité qu’une personne malveillante puisse les compromettre. En guise de bonne pratique de sécurité, assurez-vous que vos clés n’ont pas été actives pendant plus de deux ans. Audit, Refuser, Désactivé 1.0.1
Les clés utilisant un chiffrement à courbe elliptique doivent avoir les noms de courbes spécifiés Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. Audit, Refuser, Désactivé 1.0.1
Les clés utilisant le chiffrement RSA doivent avoir une taille minimale spécifiée Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. Audit, Refuser, Désactivé 1.0.1
Les journaux de ressource dans les HSM managés par Azure Key Vault doivent être activés Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Désactivé 1.1.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les secrets doivent avoir un type de contenu défini Une étiquette de type de contenu permet d’identifier si une clé secrète est un mot de passe, une chaîne de connexion, etc. Différents secrets ont différentes exigences de rotation. L’étiquette de type de contenu doit être définie sur secrets. Audit, Refuser, Désactivé 1.0.1
Les secrets doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration Si un secret a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation du secret peut occasionner une interruption. Les secrets doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Audit, Refuser, Désactivé 1.0.1
La période de validité maximale doit être spécifiée pour les secrets Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels un secret peut être valide au sein de votre coffre de clés. Audit, Refuser, Désactivé 1.0.1
Les secrets ne doivent pas être actifs pendant une période plus longue que le nombre spécifié de jours Si vos secrets ont été créés avec une date d’activation définie à l’avenir, vous devez vous assurer que vos secrets n’ont pas été actifs plus longtemps que la durée spécifiée. Audit, Refuser, Désactivé 1.0.1

Kubernetes

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Aperçu] : [Intégrité de l'image] Les clusters Kubernetes ne doivent utiliser que des images signées par notation Utilisez des images signées par notation pour garantir que les images proviennent de sources fiables et ne seront pas modifiées de manière malveillante. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity Audit, Désactivé 1.0.0-preview
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
[Aperçu] : impossible de modifier des nœuds individuels Impossible de modifier des nœuds individuels. Les utilisateurs ne doivent pas modifier des nœuds individuels. Modifiez les pools de nœuds. La modification de nœuds individuels peut entraîner des paramètres incohérents, des problèmes opérationnels et des risques de sécurité éventuels. Audit, Refuser, Désactivé 1.1.1-preview
[Préversion] : Configurer des clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Désactivé 7.1.0-preview
[Préversion] : déployer l’intégrité des images sur Azure Kubernetes Service Déployez les clusters Azure Kubernetes d’intégrité de l’image et de modules complémentaires de stratégie. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity DeployIfNotExists, Désactivé 1.0.5-preview
[Préversion] : Les images conteneur du cluster Kubernetes doivent inclure le hook de préStop Nécessite que les images conteneur incluent un hook de préStop pour terminer correctement les processus pendant les arrêts de pod. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les images conteneur du cluster Kubernetes ne doivent pas inclure la dernière balise d’image Nécessite que les images conteneur n’utilisent pas la dernière balise dans Kubernetes. Cela est recommandé pour garantir la reproductibilité, empêcher les mises à jour involontaires et faciliter le débogage et la restauration à l’aide d’images conteneur explicites et avec version. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les conteneurs de cluster Kubernetes doivent tirer des images uniquement quand des secrets de tirage d’image sont présents Restreindre les tirages d’image des conteneurs pour appliquer la présence d’ImagePullSecrets, afin de garantir un accès sécurisé et autorisé aux images au sein d’un cluster Kubernetes Audit, Refuser, Désactivé 1.1.0-preview
[Préversion] : les services de cluster Kubernetes doivent utiliser des sélecteurs uniques Vérifiez que les services d’un espace de noms ont des sélecteurs uniques. Un sélecteur de service unique veille à ce que chaque service au sein d’un espace de noms est uniquement identifiable selon des critères spécifiques. Cette stratégie synchronise des ressources d’entrée dans un Open Policy Agent (OPA) via Gatekeeper. Avant l’application, vérifiez que la capacité de mémoire des pods Gatekeeper n’est pas dépassée. Les paramètres s’appliquent à des espaces de noms spécifiques, mais toutes les ressources de ce type sont synchronisées dans l’ensemble des espaces de noms. Est actuellement en préversion pour Kubernetes Service (AKS). Audit, Refuser, Désactivé 1.1.1-preview
[Préversion] : le cluster Kubernetes doit implémenter des budgets d’interruption de pod exacts Empêche les budgets d’interruption de pods défaillants et veille donc à un nombre minimal de pods opérationnels. Reportez-vous à la documentation officielle de Kubernetes pour obtenir des détails. S’appuie sur la réplication des données Gatekeeper et synchronise toutes les ressources d’entrée qui s’y étendent dans un OPA. Avant d’appliquer cette stratégie, veillez à ce que les ressources d’entrée synchronisées ne surchargent pas la capacité de votre mémoire. Bien que les paramètres évaluent des espaces de noms spécifiques, toutes les ressources de ce genre dans les espaces de noms se synchronisent. Remarque : est actuellement en préversion pour Kubernetes Service (AKS). Audit, Refuser, Désactivé 1.1.1-preview
[Préversion] : Les clusters Kubernetes doivent restreindre la création d’un type de ressource donné Le type de ressource Kubernetes donné ne doit pas être déployé dans certains espaces de noms. Audit, Refuser, Désactivé 2.2.0-preview
[Aperçu] : doit avoir un ensemble de règles anti-affinité Cette stratégie veille à ce que les pods soient planifiés sur divers nœuds au sein du cluster. L’application de règles d’anti-affinité permet de maintenir la disponibilité, même en cas d’indisponibilité de l’un de ces nœuds. Les pods continuent de s’exécuter sur d’autres nœuds, ce qui améliore ainsi la résilience. Audit, Refuser, Désactivé 1.1.1-preview
[Aperçu] : Pas d'étiquettes spécifiques à AKS Empêche les clients d’appliquer des étiquettes spécifiques à AKS. AKS utilise des étiquettes précédées de kubernetes.azure.com pour indiquer les composants appartenant à AKS. Le client ne doit pas utiliser ces étiquettes. Audit, Refuser, Désactivé 1.1.1-preview
[Aperçu] : rejets de pool de systèmes réservés Limite l’altération CriticalAddonsOnly au pool système uniquement. AKS utilise l’altération CriticalAddonsOnly pour garder les pods du client hors de portée du pool système. Elle veille à une séparation nette entre les composants d’AKS et les pods des clients et empêche également l’exclusion de ces derniers s’ils n’acceptent pas l’altération CriticalAddonsOnly. Audit, Refuser, Désactivé 1.1.1-preview
[Préversion] : Limite la teinte CriticalAddonsOnly au pool système uniquement. Pour éviter l’éviction d’applications utilisateur des pools d’utilisateurs et maintenir la séparation des problèmes entre les pools utilisateur et système, la teinte « CriticalAddonsOnly » ne doit pas être appliquée aux pools d’utilisateurs. Muter, Désactivé 1.1.0-preview
[Préversion] : Définit les limites du processeur des conteneurs de cluster Kubernetes sur les valeurs par défaut en cas d’absence ou de dépassement des limites. Définir des limites du processeur de conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Muter, Désactivé 1.1.0-preview
[Préversion] : Définit les limites de mémoire des conteneurs de cluster Kubernetes sur les valeurs par défaut en cas de non présence ou de dépassement des limites. Définir des limites de mémoire de conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Muter, Désactivé 1.1.0-preview
[Préversion] : Définit les pods maxUnavailable sur 1 pour les ressources PodDisruptionBudget Définir la valeur maximale de votre pod indisponible sur 1 garantit que votre application ou service est disponible pendant une interruption Muter, Désactivé 1.1.0-preview
[Préversion] : Définit readOnlyRootFileSystem dans les spécifications du pod des conteneurs init sur true s’il n’est pas défini. Définir readOnlyRootFileSystem sur true augmente la sécurité en empêchant les conteneurs d’écrire dans le système de fichiers racine. Cela fonctionne uniquement pour les conteneurs Linux. Muter, Désactivé 1.1.0-preview
[Préversion] : Définit readOnlyRootFileSystem dans les spécifications du pod sur true s’il n’est pas défini. Définir readOnlyRootFileSystem sur true augmente la sécurité en empêchant les conteneurs d’écrire dans le système de fichiers racine Muter, Désactivé 1.1.0-preview
L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. AuditIfNotExists, Désactivé 1.1.0
Les clusters Kubernetes avec Azure Arc doivent avoir l'extension Azure Policy installée L’extension Open Service Mesh fournit toutes les fonctionnalités de maillage de service standard pour la sécurité, la gestion du trafic et l’observabilité des services d’application. En savoir plus ici ! https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
L’extension Strimzi Kafka doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Kafka Strimzi permet aux opérateurs d’installer Kafka pour créer des pipelines de données en temps réel et des applications de diffusion en continu avec des fonctionnalités de sécurité et d’observabilité. Pour plus d’informations : https://aka.ms/arc-strimzikafka-doc. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Les clusters Azure Kubernetes doivent activer Container Storage Interface (CSI) CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Azure Kubernetes Service. Pour en savoir plus, https://aka.ms/aks-csi-driver Audit, Désactivé 1.0.0
Les clusters Azure Kubernetes doivent activer le Service de gestion de clés (KMS) Pour la sécurité du cluster Kubernetes, utilisez le service de gestion de clés (KMS) pour chiffrer les données secrètes au repos dans etcd. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/kmsetcdencryption. Audit, Désactivé 1.0.0
Les clusters Azure Kubernetes doivent utiliser Azure CNI Azure CNI est un prérequis pour certaines fonctionnalités de Azure Kubernetes Service, notamment les stratégies réseau Azure, les pools de nœuds Windows et le module complémentaire de nœuds virtuels. Plus d’informations sur : https://aka.ms/aks-azure-cni Audit, Désactivé 1.0.1
Les clusters Azure Kubernetes Service doivent désactiver l’appel de commande La désactivation de l’appel de commande peut améliorer la sécurité en évitant le contournement de l’accès réseau restreint ou du contrôle d’accès en fonction du rôle Kubernetes Audit, Désactivé 1.0.1
Les clusters d’Azure Kubernetes Service doivent activer la mise à niveau automatique du cluster La mise à niveau automatique de clusters AKS vous permet d’être certain que vos clusters seront à jour et incluront les fonctionnalités ou correctifs les plus récents d’AKS et de Kubernetes en amont. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. Audit, Désactivé 1.0.0
Les clusters d’Azure Kubernetes Service doivent activer Image Cleaner Image Cleaner effectue automatiquement l'identification et la suppression des images vulnérables et inutilisées, ce qui atténue le risque d'images obsolètes et réduit le temps nécessaire à leur nettoyage. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/image-cleaner. Audit, Désactivé 1.0.0
Les clusters Azure Kubernetes Service doivent activer l’intégration de Microsoft Entra ID L’intégration de Microsoft Entra ID gérée par AKS peut gérer l’accès aux clusters en configurant le contrôle d’accès en fonction du rôle Kubernetes (RBAC Kubernetes) selon l’identité d’un utilisateur ou l’appartenance à un groupe d’annuaires. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-managed-aad. Audit, Désactivé 1.0.2
Les clusters d’Azure Kubernetes Service doivent activer la mise à niveau automatique du système d'exploitation du nœud La mise à niveau automatique du système d'exploitation du nœud AKS contrôle les mises à jour de sécurité du système d'exploitation au niveau du nœud. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. Audit, Désactivé 1.0.0
Azure Kubernetes Service Clusters doivent activer l’identité de charge de travail L’identité de charge de travail permet d’attribuer une identité unique à chaque pod Kubernetes et de l’associer à des ressources protégées par Azure AD telles qu’Azure Key Vault, ce qui permet un accès sécurisé à ces ressources à partir du pod. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/wi. Audit, Désactivé 1.0.0
Le profil Defender doit être activé sur les clusters Azure Kubernetes Service Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Désactivé 2.0.1
Les méthodes d’authentification locale doivent être désactivées pour les clusters Azure Kubernetes Service La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les clusters Azure Kubernetes Service nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-disable-local-accounts. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure Kubernetes Service doivent utiliser des identités managées Utilisez des identités managées pour contourner les principaux de service, simplifier la gestion du cluster et éviter la complexité requise pour les principaux de service managés. Plus d’informations sur : https://aka.ms/aks-update-managed-identities Audit, Désactivé 1.0.1
Les clusters privés Azure Kubernetes Service doivent être activés Activez la fonctionnalité de cluster privé pour votre cluster Azure Kubernetes Service pour vous assurer que le trafic réseau entre votre serveur d’API et vos pools de nœuds reste sur le réseau privé uniquement. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Audit, Désactivé 1.0.2
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Configurer les clusters Kubernetes avec Azure Arc pour installer l’extension Azure Policy Déployez l'extension d’Azure Policy pour Azure Arc afin de fournir des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. DeployIfNotExists, Désactivé 1.1.0
Configurer les clusters Azure Kubernetes Service pour activer le profil Defender Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.Defender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, Désactivé 4.1.0
Configurer l’installation de l’extension Flux sur un cluster Kubernetes Installer l’extension Flux sur un cluster Kubernetes pour permettre le déploiement de « fluxconfigurations » dans le cluster DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec une configuration Flux v2 à l’aide de la source Bucket et des secrets dans KeyVault Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite une SecretKey Bucket stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et du certificat d’autorité de certification HTTPS Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un certificat d’autorité de certification HTTPS. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.1
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets HTTPS Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé HTTPS stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets locaux Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets SSH Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git public Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la source Bucket Flux v2 spécifiée à l’aide de secrets locaux Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer les clusters Kubernetes avec la configuration GitOps spécifiée avec des secrets HTTPS Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition exige que les secrets d’utilisateur et de clé HTTPS soient stockés dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurer les clusters Kubernetes avec la configuration GitOps spécifiée sans secret Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurer les clusters Kubernetes avec la configuration GitOps spécifiée et des secrets SSH Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurer les clusters Azure Kubernetes Service intégrés à Microsoft Entra ID avec l’accès au groupe d’administration nécessaire Veillez à améliorer la sécurité des clusters en régissant de manière centralisée l’accès administratif aux clusters AKS intégrés à Microsoft Entra ID. DeployIfNotExists, Désactivé 2.1.0
Configurer la mise à niveau automatique du système d'exploitation du nœud sur le cluster Azure Kubernetes Utilisez la mise à niveau automatique du système d’exploitation du nœud pour contrôler les mises à jour de sécurité du système d’exploitation au niveau du nœud des clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. DeployIfNotExists, Désactivé 1.0.1
Déployer - Configurer les paramètres de diagnostic d’Azure Kubernetes Service dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’Azure Kubernetes Service pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics. DeployIfNotExists, Désactivé 3.0.0
Déployer l’extension Azure Policy sur les clusters Azure Kubernetes Service Utilisez l’extension Azure Policy pour gérer et signaler l’état de conformité de vos clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://aka.ms/akspolicydoc. DeployIfNotExists, Désactivé 4.1.0
Déployer Image Cleaner sur le Azure Kubernetes Service Déployez Image Cleaner sur les clusters Azure Kubernetes. Pour plus d’informations, consultez https://aka.ms/aks/image-cleaner DeployIfNotExists, Désactivé 1.0.4
Déployer la maintenance planifiée pour planifier et contrôler les mises à niveau de votre cluster Azure Kubernetes Service (AKS) La maintenance planifiée vous permet de planifier des fenêtres de maintenance hebdomadaire pour effectuer des mises à jour et réduire l’impact sur les charges de travail. Une fois planifiées, les mises à jour se produisent uniquement pendant la fenêtre que vous avez sélectionnée. Plus d’informations sur : https://aka.ms/aks/planned-maintenance DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Désactiver l’appel de commande sur les clusters Azure Kubernetes Service La désactivation de l’appel de commande peut améliorer la sécurité en rejetant l’accès invoke-command au cluster DeployIfNotExists, Désactivé 1.2.0
Vérifier que les conteneurs de cluster ont des sondes de préparation ou d’activité configurées Cette stratégie impose que tous les pods aient une préparation et/ou des sondes d’activité configurées. Les types de sondes peuvent être de n’importe quel type : tcpSocket, httpGet et exec. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. Audit, Refuser, Désactivé 3.2.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.2.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Les conteneurs de cluster Kubernetes ne doivent pas utiliser les interfaces sysctl interdites Les conteneurs de clusters Kubernetes ne doivent pas utiliser les interfaces sysctl interdites. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement le ProcMountType autorisé Les conteneurs de pods ne peuvent utiliser que les ProcMountTypes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.1.1
Les conteneurs de cluster Kubernetes doivent uniquement utiliser une stratégie de tirage (pull) autorisée Restreindre la stratégie de tirage des conteneurs afin de les contraindre à utiliser uniquement des images autorisées lors des déploiements Audit, Refuser, Désactivé 3.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils seccomp autorisés Les conteneurs de pods ne peuvent utiliser que les profils seccomp autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.1
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les volumes FlexVolume de pod de cluster Kubernetes doivent utiliser uniquement des pilotes autorisés Les volumes FlexVolume de pod ne doivent utiliser que des pilotes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.1
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.1
Les conteneurs et pods de cluster Kubernetes doivent utiliser uniquement des options SELinux autorisées Les pods et les conteneurs ne doivent utiliser que des options SELinux autorisées dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement les types de volume autorisés Les pods ne peuvent utiliser que des types de volumes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.0
Les pods de clusters Kubernetes doivent utiliser les étiquettes spécifiées Utilisez les étiquettes spécifiées pour identifier les pods dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.1.0
Le cluster Kubernetes ne doit pas utiliser de pods nus Bloquer l’utilisation des pods nus. Les pods nus ne seront pas replanifiés en cas de défaillance d’un nœud. Les pods doivent être gérés par déploiement, Replicset, Daemonset ou Jobs Audit, Refuser, Désactivé 2.1.0
Les conteneurs Windows de cluster Kubernetes ne doivent pas surengager le processeur et la mémoire Les requêtes de ressources de conteneur Windows doivent être inférieures ou égales à la limite de ressources ou non spécifiées afin d’éviter les sollicitations excessives. Si la mémoire Windows est surprovisionnée, elle traite les pages sur disque, ce qui peut ralentir les performances, au lieu d’arrêter le conteneur avec une mémoire insuffisante Audit, Refuser, Désactivé 2.1.0
Les conteneurs Windows de cluster Kubernetes ne doivent pas s’exécuter en tant que ContainerAdministrator Empêchez l’utilisation de ContainerAdministrator en tant qu’utilisateur pour exécuter les processus de conteneur pour les pods ou conteneurs Windows. Cette recommandation est destinée à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. Audit, Refuser, Désactivé 1.1.0
Les conteneurs Windows du cluster Kubernetes ne doivent s’exécuter qu’avec un utilisateur et un groupe d’utilisateurs de domaine approuvés Contrôlez l’utilisateur que les pods et conteneurs Windows peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité des nœuds Windows destinées à améliorer la sécurité de vos environnements Kubernetes. Audit, Refuser, Désactivé 2.1.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.1.0
Les clusters Kubernetes doivent s’assurer que le rôle Administrateur de cluster est utilisé uniquement si nécessaire Le rôle « Administrateur de cluster » fournit des pouvoirs étendus sur l’environnement et doit être utilisé uniquement quand et si nécessaire. Audit, Désactivé 1.0.0
Les clusters Kubernetes doivent réduire l’utilisation de caractères génériques dans le rôle et le rôle de cluster L’utilisation de caractères génériques « * » peut être un risque de sécurité, car elle accorde des autorisations étendues qui peuvent ne pas être nécessaires pour un rôle spécifique. Si un rôle a trop d’autorisations, il peut être utilisé de manière abusive par un attaquant ou un utilisateur compromis pour obtenir un accès non autorisé aux ressources du cluster. Audit, Désactivé 1.0.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.0
Les clusters Kubernetes ne doivent pas autoriser les autorisations de modification de point de terminaison de ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit ne doit pas autoriser les autorisations de modification de point de terminaison en raison de la vulnérabilité CVE-2021-25740. Les autorisations Endpoint et EndpointSlice permettent le transfert entre les espaces de noms, https://github.com/kubernetes/kubernetes/issues/103675. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. Audit, Désactivé 3.1.0
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Les clusters Kubernetes ne doivent pas utiliser de fonctionnalités de sécurité spécifiques N’utilisez pas des fonctionnalités de sécurité spécifiques dans les clusters Kubernetes pour bloquer les privilèges non accordés sur la ressource Pod. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.1.0
Les clusters Kubernetes doivent utiliser le pilote Container Storage Interface(CSI) StorageClass CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Kubernetes. StorageClass dans l’arborescence doit être déconseillé depuis AKS version 1.21. Pour en savoir plus, https://aka.ms/aks-csi-driver Audit, Refuser, Désactivé 2.2.0
Les clusters Kubernetes doivent utiliser des équilibreurs de charge internes Utilisez un équilibreur de charge interne pour rendre un service Kubernetes accessible uniquement aux applications qui s’exécutent dans le même réseau virtuel que le cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Les ressources Kubernetes doivent avoir les annotations requises Assurez-vous que les annotations requises sont attachées à un type de ressource Kubernetes donné pour améliorer la gestion des ressources de vos ressources Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. Audit, Refuser, Désactivé 3.1.0
Les journaux de ressources dans Azure Kubernetes Service doivent être activés Les journaux de ressources d’Azure Kubernetes Service permettent de recréer des traçages d’activité durant l’investigation d’incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire AuditIfNotExists, Désactivé 1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1

Lab Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Lab Services doit activer toutes les options d’arrêt automatique Cette stratégie facilite la gestion des coûts en appliquant l’activation de toutes les options d’arrêt automatique pour un labo. Audit, Refuser, Désactivé 1.1.0
Lab Services ne doit pas autoriser les machines virtuelles modèles pour les labos Cette stratégie empêche la création et la personnalisation d’un modèle de machines virtuelles pour les labos gérés via Lab Services. Audit, Refuser, Désactivé 1.1.0
Lab Services doit exiger un utilisateur non administrateur pour les labos Cette stratégie nécessite la création de comptes d’utilisateurs non administrateurs pour les labos gérés par le biais de lab-services. Audit, Refuser, Désactivé 1.1.0
Lab Services doit restreindre les tailles de référence SKU de machine virtuelle autorisées Cette stratégie vous permet de restreindre certaines références SKU de machine virtuelle de calcul pour les laboratoires gérés via Lab Services. Cela limitera la taille de certaines machines virtuelles. Audit, Refuser, Désactivé 1.1.0

Lighthouse

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser l’intégration des ID de locataires gérants dans Azure Lighthouse La restriction des délégations Azure Lighthouse à des locataires gérants spécifiques durcit la sécurité en limitant les personnes autorisées à gérer vos ressources Azure. deny 1.0.1
Auditer la délégation d’étendues sur un locataire gérant Auditez la délégation d’étendues sur un locataire gérant via Azure Lighthouse. Audit, Désactivé 1.0.0

Logic Apps

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Refuser, Désactivé 1.0.0
Logic Apps doit être déployé dans un environnement de service d’intégration Le déploiement de Logic Apps dans un environnement de service d’intégration au sein d’un réseau virtuel déverrouille les fonctionnalités avancées Logic Apps de sécurité et de réseau, et vous permet de mieux contrôler votre configuration réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/integration-service-environment. Le déploiement dans un environnement de service d’intégration permet également de chiffrer les données avec des clés gérées par le client, ce qui améliore la protection des données en vous permettant de gérer vos clés de chiffrement. Cette configuration permet souvent de répondre aux exigences de conformité. Audit, Refuser, Désactivé 1.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.1.0

Machine Learning

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : les déploiements de Registre de modèles Azure Machine Learning sont limités, à l’exception du Registre autorisé Déployez uniquement des modèles de Registre dans le Registre autorisé et qui ne sont pas limités. Deny, Disabled 1.0.0-preview
La capacité de calcul Azure Machine Learning doit s’arrêter en cas d’inactivité. Le fait de planifier un arrêt en cas d’inactivité réduit les coûts en arrêtant les calculs inactifs après une période d’activité prédéfinie. Audit, Refuser, Désactivé 1.0.0
Les instances de calcul Azure Machine Learning doivent être recréées pour obtenir les dernières mises à jour logicielles Vérifiez que les instances de calcul Azure Machine Learning s’exécutent sur le dernier système d’exploitation disponible. La sécurité est renforcée et les vulnérabilités sont réduites si l’exécution se fait avec les derniers correctifs de sécurité. Pour plus d’informations, consultez https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Les capacités de calcul Azure Machine Learning doivent se trouver dans un réseau virtuel Le réseau virtuel Azure fournit une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités permettant de restreindre davantage l’accès. Quand une capacité de calcul Azure Machine Learning est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications figurant dans le réseau virtuel. Audit, Désactivé 1.0.1
Les méthodes d’authentification locale doivent être désactivées pour les capacités de calcul Azure Machine Learning La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que les capacités de calcul Machine Learning requièrent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. Audit, Refuser, Désactivé 2.1.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. Audit, Refuser, Désactivé 1.0.3
Les espaces de travail Azure Machine Learning doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public renforce la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l’Internet public. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Audit, Refuser, Désactivé 2.0.1
Les espaces de travail Azure Machine Learning doivent activer V1LegacyMode pour prendre en charge la compatibilité descendante de l’isolement réseau. Azure ML effectue une transition vers une nouvelle plateforme d’API V2 sur Azure Resource Manager et vous pouvez contrôler la version de la plateforme d’API à l’aide du paramètre V1LegacyMode. L’activation du paramètre V1LegacyMode vous permet de conserver vos espaces de travail dans la même isolation réseau que V1, bien que vous n’utilisiez pas les nouvelles fonctionnalités V2. Nous vous recommandons d’activer le mode hérité V1 uniquement lorsque vous souhaitez conserver les données du plan de contrôle AzureML à l’intérieur de vos réseaux privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/V1LegacyMode. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent utiliser une identité managée affectée par l'utilisateur Gérez l’accès à l’espace de travail Azure ML et aux ressources associées, Azure Container Registry, KeyVault, Stockage et App Insights à l’aide de l’identité managée affectée par l’utilisateur. Par défaut, l’identité managée affectée par le système est utilisée par l’espace de travail Azure ML pour accéder aux ressources associées. L’identité managée affectée par l’utilisateur vous permet de créer l’identité en tant que ressource Azure et de tenir à jour le cycle de vie de cette identité. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Refuser, Désactivé 1.0.0
Configurer les capacités de calcul Azure Machine Learning pour désactiver les méthodes d’authentification locale Désactivez les méthodes d’authentification d’emplacement de sorte que vos capacités de calcul Machine Learning nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. Modifier, Désactivé 2.1.0
Configurer l’espace de travail Azure Machine Learning pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de travail Azure Machine Learning. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Désactivé 1.1.0
Configurer les espaces de travail Azure Machine Learning pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour les espaces de travail Azure Machine Learning afin que ceux-ci ne soient pas accessibles via l’Internet public. Cela permet de protéger les espaces de travail contre les risques de fuite de données. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Modifier, Désactivé 1.0.3
Configurer les espaces de travail Azure Machine Learning avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre espace de travail Azure Machine Learning, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Désactivé 1.0.0
Configurer les paramètres de diagnostic pour les espaces de travail Azure Machine Learning dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’espaces de travail Azure Machine Learning pour diffuser en continu les journaux de ressource à un espace de travail Azure Machine Learning quand un serveur SQL créé ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.1
Les journaux de ressource dans les espaces de travail Azure Machine Learning doivent être activés Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. AuditIfNotExists, Désactivé 1.0.1

Application managée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La définition d’application de l’application managée doit utiliser le compte de stockage fourni par le client Utilisez votre propre compte de stockage pour contrôler les données de définition d’application lorsqu’il s’agit d’une condition de réglementation ou de conformité requise. Vous pouvez choisir de stocker la définition de votre application managée dans un compte de stockage fourni par vos soins lors de la création, de manière à gérer entièrement son emplacement et son accès et répondre ainsi aux conditions de réglementation ou de conformité requises. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Déployer des associations pour une application managée Déploie une ressource d’association qui associe les types de ressources sélectionnés à l’application managée spécifiée. Ce déploiement de stratégie ne prend pas en charge les types de ressources imbriqués. deployIfNotExists 1.0.0

Grafana managé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Managed Grafana doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Managed Grafana, vous pouvez réduire les risques de fuite de données. Audit, Désactivé 1.0.0
Les espaces de travail Azure Managed Grafana doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que l’espace de travail Azure Managed Grafana ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos espaces de travail. Audit, Refuser, Désactivé 1.0.0
Configurer des tableaux de bord Azure Managed Grafana avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Managed Grafana, vous pouvez réduire les risques de fuite de données. DeployIfNotExists, Désactivé 1.0.0
Configurer les espaces de travail Azure Managed Grafana pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour que votre espace de travail Azure Managed Grafana ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Modifier, Désactivé 1.0.0
Configurer les espaces de travail Azure Managed Grafana pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de travail Azure Managed Grafana. DeployIfNotExists, Désactivé 1.0.0

Identité managée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Les informations d’identification fédérées d’identité managée d’Azure Kubernetes doivent provenir de sources approuvées Cette stratégie limite la fédération avec des clusters Azure Kubernetes aux seuls clusters provenant de locataires approuvés, de régions approuvées et d’une liste d’exceptions spécifique de clusters supplémentaires. Audit, Désactivé, Refus 1.0.0-preview
[Preview] : Les informations d'identification fédérées d'identité gérées de GitHub doivent provenir de propriétaires de référentiels de confiance Cette stratégie limite la fédération avec les dépôts GitHub aux seuls propriétaires de référentiels approuvés. Audit, Désactivé, Refus 1.0.1-preview
[Préversion] : Les informations d’identification fédérées d’identité managée doivent provenir de types d’émetteurs autorisés Cette stratégie détermine si les identités managées peuvent utiliser des informations d’identification fédérées et les types d’émetteurs courants autorisés, et fournit une liste d’exceptions d’émetteur autorisées. Audit, Désactivé, Refus 1.0.0-preview
[Préversion] : Attribuer une identité managée affectée par l’utilisateur intégrée à des groupes de machines virtuelles identiques Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux groupes de machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.6-preview
[Préversion] : Attribuer une identité managée affectée par l’utilisateur intégrée à des machines virtuelles Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.6-preview

Maps

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
CORS ne doit pas autoriser toutes les ressources à accéder à votre compte de mappage. Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre compte de mappage. Autorisez uniquement les domaines requis à interagir avec votre compte de mappage. Désactivé, Audit, Refuser 1.0.0

Media Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Azure Media Services doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Media Services ne sont pas exposées sur le réseau Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Media Services doivent utiliser une API qui prend en charge Private Link Les comptes Media Services doivent être créés avec une API qui prend en charge la liaison privée. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Media Services qui autorisent l’accès à l’API v2 héritée doivent être bloqués L’API héritée Media Services v2 autorise les requêtes qui ne peuvent pas être managées à l’aide d’Azure Policy. Les ressources Media Services créées à l’aide de l’API 2020-05-01 ou version ultérieure bloquent l’accès à l’API v2 héritée. Audit, Refuser, Désactivé 1.0.0
Les stratégies de clé de contenu Azure Media Services doivent utiliser l’authentification par jeton Les stratégies de clés de contenu définissent les conditions requises pour accéder aux clés de contenu. Une restriction de jeton garantit que les clés de contenu ne sont accessibles qu'aux utilisateurs disposant de jetons valides provenant d'un service d'authentification, par exemple Microsoft Entra ID. Audit, Refuser, Désactivé 1.0.1
Les tâches Azure Media Services avec des entrées HTTPS doivent limiter les URI d’entrée aux modèles d’URI autorisés Restreignez les entrées HTTPS utilisées par les tâches Media Services aux points de terminaison connus. Les entrées des points de terminaison HTTPS peuvent être entièrement désactivées en définissant une liste vide de modèles d’entrée de tâche autorisés. Quand les entrées de tâche spécifient un « baseUri », les modèles sont comparés à cette valeur. Quand « baseUri » n’est pas défini, le modèle est mis en correspondance avec la propriété « files ». Deny, Disabled 1.0.1
Azure Media Services doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de vos comptes Media Services. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/mediaservicescmkdocs. Audit, Refuser, Désactivé 1.0.0
Azure Media Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure Media Services pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en compte Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Media Services avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Désactivé 1.0.0

Migrate

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer des ressources Azure Migrate pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en votre projet Azure Migrate. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0

Réseau mobile

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer l’accès au diagnostic du plan de contrôle Packet Core pour utiliser un type d’authentification Microsoft Entra ID Le type d’authentification doit être Microsoft Entra ID pour l’accès au diagnostic de base de paquets sur des API locales Modifier, Désactivé 1.0.0
L’accès au diagnostic de base du plan de contrôle de paquets doit uniquement utiliser un type d’authentification Microsoft Entra ID Le type d’authentification doit être Microsoft Entra ID pour l’accès au diagnostic de base de paquets sur des API locales Audit, Refuser, Désactivé 1.0.0
Un groupe de cartes SIM doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de secrets de cartes SIM dans un groupe de cartes SIM. Les clés gérées par le client sont généralement nécessaires pour répondre aux normes de conformité réglementaire et elles permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Refuser, Désactivé 1.0.0

Surveillance

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Configurer les machines Linux avec Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut Protégez vos machines Linux Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Windows avec Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut Protégez vos machines Windows Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : Configurer l’identité managée affectée par le système pour activer les affectations d’Azure Monitor sur les machines virtuelles Configurez une identité managée affectée par le système pour les machines virtuelles qui sont hébergées dans Azure et prises en charge par Azure Monitor, mais qui n’ont pas d’identité managée affectée par le système. Une identité managée attribuée par le système est un prérequis pour toutes les affectations Azure Monitor ; elle doit être ajoutée aux machines avant d’utiliser une quelconque extension Azure Monitor. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. Modifier, Désactivé 6.0.0-preview
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Le journal d’activité doit être conservé pendant au moins un an Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Les composants Application Insights doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics Améliorez Application Insights en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de ce composant. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les composants Application Insights doivent bloquer l’ingestion non Azure Active Directory. L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. Refus, Audit, Désactivation 1.0.0
Les composants d’Application Insights avec un lien privé activé doivent utiliser les mêmes comptes de stockage pour le profileur et le débogueur. Pour prendre en charge les stratégies de liaison privée et de clé gérée par le client, créez votre propre compte de stockage pour le profileur et le débogueur. En savoir plus sur https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Refus, Audit, Désactivation 1.0.0
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic. AuditIfNotExists 2.0.1
Les journaux de ressource doivent être activés pour Azure Application Gateway Activez les journaux de ressources pour Azure Application Gateway (plus WAF) et diffusez en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressource doivent être activés pour Azure Front Door Activez les journaux de ressources pour Azure Front Door (plus WAF) et diffusez en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressources doivent être activés pour Azure Front Door Standard ou Premium (plus WAF) Activez les journaux de ressources pour Azure Front Door (plus WAF) et diffusez-les en continu vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. AuditIfNotExists, Désactivé 1.0.0
Les alertes Recherche dans les journaux Azure sur les espaces de travail Log Analytics doivent utiliser des clés gérées par le client Veillez à ce que les alertes Recherche dans les journaux Azure implémentent des clés gérées par le client, en stockant le texte de la requête à l’aide du compte de stockage fourni par le client pour l’espace de travail Log Analytics interrogé. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Désactivé, Refus 1.0.0
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » AuditIfNotExists, Désactivé 1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les journaux Azure Monitor pour Application Insights doivent être liés à un espace de travail Log Analytics Liez le composant Application Insights à un espace de travail Log Analytics pour le chiffrement des journaux. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos données dans Azure Monitor. Si vous liez votre composant à un espace de travail Log Analytics qui est activé avec une clé gérée par le client, vous êtes sûr que vos journaux Application Insights répondent à cette exigence de conformité ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, audit, refus, refus, désactivé, désactivé 1.1.0
L’étendue de liaison privée Azure Monitor doit bloquer l’accès aux ressources de liaison non privées Le lien privé Azure vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue de liaison privée Azure Monitor. Les modes d’accès aux liens privés sont définis sur votre Étendue de liaison privée Azure Monitor pour contrôler si les demandes d’ingestion et de requête de vos réseaux peuvent atteindre toutes les ressources, ou uniquement les ressources de lien privé (pour empêcher l’exfiltration de données). En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Refuser, Désactivé 1.0.0
L’étendue de liaison privée d’Azure Monitor doit utiliser un lien privé Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’étendue de liaison privée d’Azure Monitor, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Désactivé 1.0.0
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
La solution 'Security and Audit' d’Azure Monitor doit être déployée Cette stratégie garantit que la solution Security and Audit est déployée. AuditIfNotExists, Désactivé 1.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0
Configurer les journaux d’activité Azure dans le flux vers l’espace de travail Log Analytics spécifié Déploie les paramètres de diagnostic de l’activité Azure sur les journaux d’audit des abonnements de flux dans un espace de travail Log Analytics pour surveiller les événements au niveau de l’abonnement DeployIfNotExists, Désactivé 1.0.0
Configurer les composants Azure Application pour désactiver l’accès au réseau public pour l’ingestion et l’interrogation des journaux Désactivez l’ingestion et l’interrogation des journaux des composants à partir des réseaux publics pour améliorer la sécurité. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. Modifier, Désactivé 1.1.0
Configurer des espaces de travail Azure Log Analytics pour désactiver l’accès au réseau public pour l’ingestion et l’interrogation des journaux Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modifier, Désactivé 1.1.0
Configurer l’étendue de liaison privée Azure Monitor pour bloquer l’accès aux ressources de liaison non privées Le lien privé Azure vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue de liaison privée Azure Monitor. Les modes d’accès aux liens privés sont définis sur votre Étendue de liaison privée Azure Monitor pour contrôler si les demandes d’ingestion et de requête de vos réseaux peuvent atteindre toutes les ressources, ou uniquement les ressources de lien privé (pour empêcher l’exfiltration de données). En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modifier, Désactivé 1.0.0
Configurer l’étendue de liaison privée d’Azure Monitor pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en étendue de liaison privée Azure Monitor. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Désactivé 1.0.0
Configurer les étendues de liens privés d’Azure Monitor avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée d’Azure Monitor, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Désactivé 1.0.0
Configurer Dependency Agent sur les serveurs Linux avec Azure Arc Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 2.0.0
Configurer Dependency Agent sur serveurs Linux avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 1.1.2
Configurer Dependency Agent sur les serveurs Windows avec Azure Arc Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 2.0.0
Configurer Dependency Agent sur serveurs Windows avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 1.1.2
Configurer des machines Arc Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des machines Linux avec Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 2.2.0
Configurer des machines Linux avec Arc pour exécuter l’agent Azure Monitor Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 2.4.0
Configurer des machines Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez l’Association pour lier des machines virtuelles Linux, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 6.3.0
Configurer des groupes de machines virtuelles identiques Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 4.2.0
Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.5.0
Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.6.0
Configurer des machines virtuelles Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 4.2.0
Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.5.0
Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.6.0
Configurer l’extension Log Analytics sur des serveurs Linux activés pour Azure Arc. Voir l’avis de dépréciation ci-dessous Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace DeployIfNotExists, Désactivé 2.1.1
Configurer l’extension Log Analytics sur des serveurs Windows avec Azure Arc Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 2.1.1
Configurer un espace de travail Log Analytics et le compte Automation pour centraliser les journaux et la surveillance Déployez le groupe de ressources contenant un espace de travail Log Analytics et le compte Automation lié pour centraliser les journaux et la surveillance. Le compte Automation est un prérequis pour des solutions telles que les mises à jour et Change Tracking. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0
Configurer des machines Arc Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des machines Windows avec Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 2.2.0
Configurer des machines Windows avec Arc pour exécuter l’agent Azure Monitor Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 2.4.0
Configurer des machines Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez l’Association pour lier des machines virtuelles Windows, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 4.5.0
Configurer des groupes de machines virtuelles identiques Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 3.3.0
Configurer des groupes de machines virtuelles identiques Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.4.0
Configurer des groupes de machines virtuelles identiques Windows pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.4.0
Configurer des machines virtuelles Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des machines virtuelles Windows à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 3.3.0
Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 4.4.0
Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.4.0
Dependency Agent doit être activé pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. AuditIfNotExists, Désactivé 2.0.0
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. AuditIfNotExists, Désactivé 2.0.0
Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les groupes de machines virtuelles identiques Windows Déployez Dependency Agent pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. DeployIfNotExists, Désactivé 3.1.0
Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les machines virtuelles Windows Déployez Dependency Agent pour les machines virtuelles Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. DeployIfNotExists, Désactivé 3.1.0
Déployer - Configurer les paramètres de diagnostic sur un espace de travail Log Analytics à activer sur un HSM managé par Azure Key Vault Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des groupes de machines virtuelles identiques Windows Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 3.1.0
Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des machines virtuelles Windows Déployez l’extension Log Analytics pour les machines virtuelles Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 3.1.0
Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux Déployez Dependency Agent pour les groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (OS) est dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. deployIfNotExists 5.0.0
Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux avec les paramètres d’agent Azure Monitoring Déployez Dependency Agent pour les groupe de machines virtuelles identiques Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. DeployIfNotExists, Désactivé 3.1.1
Déployer Dependency Agent pour les machines virtuelles Linux Déployez Dependency Agent pour les machines virtuelles Linux si l’image de machine virtuelle (SE) est dans la liste définie et que l’agent n’est pas installé. deployIfNotExists 5.0.0
Déployer Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring Déployez Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. DeployIfNotExists, Désactivé 3.1.1
Déployer Dependency Agent à activer sur les groupes de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor Déployez Dependency Agent pour les groupe de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. DeployIfNotExists, Désactivé 1.2.2
Déployer Dependency Agent à activer sur les machines virtuelles Windows avec les paramètres d’agent Azure Monitor Déployez Dependency Agent pour les machines virtuelles Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. DeployIfNotExists, Désactivé 1.2.2
Déployer les paramètres de diagnostic de compte Batch sur Event Hub Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un hub d’événements régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de compte batch sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un espace de travail Log Analytics régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Data Lake Analytics sur Event Hub Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un hub d’événements régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Data Lake Analytics sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur Event Hub Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un hub d’événements régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic d’Event Hub sur Event Hub Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un hub d’événements régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.1.0
Déployer les paramètres de diagnostic d’Event Hub sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un espace de travail Log Analytics régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Key Vault sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 3.0.0
Déployer les paramètres de diagnostic de Logic Apps sur Event Hub Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un hub d’événements régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Logic Apps sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un espace de travail Log Analytics régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer des paramètres de diagnostic pour les groupes de sécurité réseau Cette stratégie déploie automatiquement les paramètres de diagnostic sur les groupes de sécurité réseau. Un compte de stockage portant le nom « {storagePrefixParameter}{NSGLocation} » est automatiquement créé. deployIfNotExists 2.0.1
Déployer les paramètres de diagnostic des services de recherche sur Event Hub Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un hub d’événements régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic des services de recherche sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un espace de travail Log Analytics régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Service Bus sur Event Hub Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un hub d’événements régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Service Bus sur un espace de travail Log Analytics Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un espace de travail Log Analytics régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.1.0
Déployer les paramètres de diagnostic de Stream Analytics sur Event Hub Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un hub d’événements régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Stream Analytics sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Linux. Voir l’avis de dépréciation ci-dessous Déployez l’extension Log Analytics pour des groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. Avis de dépréciation : l’agent Log Analytics ne sera plus pris en charge après le 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace deployIfNotExists 3.0.0
Déployez l’extension Log Analytics pour des machines virtuelles Linux. Voir l’avis de dépréciation ci-dessous Déployez l’extension Log Analytics pour les machines virtuelles Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace deployIfNotExists 3.0.0
Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les services Gestion des API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les services Gestion des API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les services Gestion des API (microsoft.apimanagement/service) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les services Gestion des API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour App Configuration (microsoft.appconfiguration/configurationstores) vers Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour App Configuration (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour App Configuration (microsoft.appconfiguration/configurationstores) vers Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Configuration (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour App Configuration (microsoft.appconfiguration/configurationstores) vers le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour App Configuration (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour App Service (microsoft.web/sites) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Service (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour un groupe d’applications (microsoft.desktopvirtualization/applicationgroups) sur Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un groupe d’application Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Application Insights (Microsoft.Insights/components) sur Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour Application Insights (Microsoft.Insights/components). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les fournisseurs d’attestation (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les comptes Automation (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les comptes Automation (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Automation (microsoft.automation/automationaccounts) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les comptes Automation (microsoft.automation/automationaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les clouds privés AVS (microsoft.avs/privateclouds) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les clouds privés AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les clouds privés AVS (microsoft.avs/privateclouds) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les clouds privés AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les clouds privés AVS (microsoft.avs/privateclouds) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les clouds privés AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Cache pour Redis (microsoft.cache/redis) vers Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Azure Cache pour Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Azure Cache pour Redis (microsoft.cache/redis) vers Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Cache pour Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Cache pour Redis (microsoft.cache/redis) vers le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Azure Cache pour Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Cosmos DB (microsoft.documentdb/databaseaccounts) sur Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Machine Learning (microsoft.machinelearningservices/workspaces) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Azure Machine Learning (microsoft.machinelearningservices/workspaces) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Azure Machine Learning (microsoft.machinelearningservices/workspaces) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Bastions (microsoft.network/bastionhosts) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Bastions (microsoft.network/bastionhosts) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Bastions (microsoft.network/bastionhosts) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) vers Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Cognitive Services (microsoft.cognitiveservices/accounts) vers le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Cognitive Services (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les registres de conteneurs (microsoft.containerregistry/registries) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les registres de conteneurs (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les registres de conteneurs (microsoft.containerregistry/registries) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les registres de conteneurs (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les registres de conteneurs (microsoft.containerregistry/registries) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les registres de conteneurs (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les domaines Event Grid (microsoft.eventgrid/domains) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les domaines Event Grid (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les domaines Event Grid (microsoft.eventgrid/domains) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les domaines Event Grid (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les domaines Event Grid (microsoft.eventgrid/domains) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les domaines Event Grid (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms de partenaire Event Grid (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les rubriques Event Grid (microsoft.eventgrid/topics) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les rubriques Event Grid (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les rubriques Event Grid (microsoft.eventgrid/topics) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les rubriques Event Grid (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les rubriques Event Grid (microsoft.eventgrid/topics) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les rubriques Event Grid (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Activer la journalisation par groupe de catégories pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms Event Hubs (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour un pare-feu (microsoft.network/azurefirewalls) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un pare-feu (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.cdn/profiles) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les profils Front Door et CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.cdn/profiles) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les profils Front Door et CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.cdn/profiles) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les profils Front Door et CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.network/frontdoors) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les profils Front Door et CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.network/frontdoors) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les profils Front Door et CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les profils Front Door et CDN (microsoft.network/frontdoors) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les profils Front Door et CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour une application de fonction (microsoft.web/sites) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour une application de fonction (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour un pool d’hôtes (microsoft.desktopvirtualization/hostpools) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un pool d’hôtes Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour IoT Hub (microsoft.devices/iothubs) dans le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour IoT Hub (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les coffres de clés (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les coffres de clés (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les coffres de clés (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de travail Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les modules HSM gérés (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les modules HSM gérés (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les modules HSM gérés (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Media Services (microsoft.media/mediaservices) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Media Services (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Media Services (microsoft.media/mediaservices) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Media Services (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Media Services (microsoft.media/mediaservices) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Media Services (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Microsoft Purview (microsoft.purview/accounts) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les comptes Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les comptes Microsoft Purview (microsoft.purview/accounts) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les comptes Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les comptes Microsoft Purview (microsoft.purview/accounts) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les comptes Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.network/p2svpngateways dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour microsoft.network/p2svpngateways dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour microsoft.network/p2svpngateways dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour un serveur flexible PostgreSQL (microsoft.dbforpostgresql/flexibleservers) sur Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un serveur flexible Azure Database PostgreSQL (microsoft.dbforpostgresql/flexibleservers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les adresses IP publiques (microsoft.network/publicipaddresses) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les adresses IP publiques (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Activer la journalisation par groupe de catégories pour les adresses IP publiques (microsoft.network/publicipaddresses) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les adresses IP publiques (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les adresses IP publiques (microsoft.network/publicipaddresses) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les adresses IP publiques (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les espaces de noms Service Bus (microsoft.servicebus/namespaces) vers le Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les espaces de noms Service Bus (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour SignalR (microsoft.signalrservice/signalr) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour SignalR (microsoft.signalrservice/signalr) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour SignalR (microsoft.signalrservice/signalr) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les bases de données SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.2.0
Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les bases de données SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les bases de données SQL (microsoft.sql/servers/databases) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les bases de données SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les instances gérées SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les instances gérées SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les instances gérées SQL (microsoft.sql/managedinstances) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les instances gérées SQL (microsoft.sql/managedinstances). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Video Analyzer (microsoft.media/videoanalyzers) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour Video Analyzer (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour Video Analyzer (microsoft.media/videoanalyzers) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour Video Analyzer (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour Video Analyzer (microsoft.media/videoanalyzers) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour Video Analyzer (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les passerelles de réseau virtuel (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour le service Web PubSub (microsoft.signalrservice/webpubsub) dans Event Hub Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour le service Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Activer la journalisation par groupe de catégories pour le service Web PubSub (microsoft.signalrservice/webpubsub) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour le service Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour le service Web PubSub (microsoft.signalrservice/webpubsub) dans Stockage Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour le service Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Activer la journalisation par groupe de catégories pour un espace de travail (microsoft.desktopvirtualization/workspaces) dans Log Analytics Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour un espace de travail Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
L’agent Azure Monitor doit être installé sur des machines Linux avec Arc Les machines Linux avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie audite les machines avec Arc dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 1.2.0
L’agent Azure Monitor doit être installé sur les machines virtuelles Linux Les groupes de machines virtuelles identiques Linux doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des groupes de machines virtuelles identiques avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.2.0
L’agent Azure Monitor doit être installé sur les machines virtuelles Linux Les machines virtuelles Linux doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des machines virtuelles avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.2.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1
Les espaces de travail Log Analytics doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de travail Log Analytics doivent bloquer l’ingestion non Azure Active Directory. L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. Refus, Audit, Désactivation 1.0.0
Les adresses IP publiques doivent avoir les journaux de ressource activés pour Azure DDoS Protection Activez les journaux de ressources des adresses IP publiques dans les paramètres de diagnostic, afin d’envoyer des données en streaming à un espace de travail Log Analytics. Obtenez une visibilité détaillée du trafic d’attaque et des actions entreprises pour atténuer les attaques DDoS par le biais de notifications, de rapports et de journaux de flux. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.1
Les journaux de ressources doivent être activés pour l’audit sur les ressources prises en charge Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. L’existence d’un paramètre de diagnostic pour le groupe de catégories Audit sur les types de ressources sélectionnés garantit que ces journaux sont activés et capturés. Les types de ressources applicables sont ceux qui prennent en charge le groupe de catégories « Audit ». AuditIfNotExists, Désactivé 1.0.0
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. AuditIfNotExists, Désactivé 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Linux avec Azure Arc Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Linux avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Windows avec Azure Arc Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Windows avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Linux Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Linux. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Linux Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles Linux. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. AuditIfNotExists, Désactivé 1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
L’agent Azure Monitor doit être installé sur des machines Windows avec Arc Les machines Windows avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines Windows avec Arc dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 1.2.0
L’agent Azure Monitor doit être installé sur les groupes de machines virtuelles identiques Windows Les groupes de machines virtuelles identiques Windows doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les groupes de machines virtuelles identiques avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisés pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.2.0
L’agent Azure Monitor doit être installé sur les machines virtuelles Windows Les machines virtuelles Windows doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines virtuelles Windows avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.2.0
Les classeurs doivent être enregistrés dans des comptes de stockage que vous contrôlez Avec le BYOS (Bring Your Own Storage), ces classeurs sont chargés dans un compte de stockage que vous contrôlez. Cela signifie que vous contrôlez la stratégie de chiffrement au repos, la stratégie de gestion de la durée de vie et l’accès réseau. Toutefois, vous êtes responsable des coûts associés à ce compte de stockage. Pour plus d’informations, visitez https://aka.ms/workbooksByos. refus, Refus, audit, Audit, désactivé, Désactivé 1.1.0

Réseau

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview
Une stratégie IPsec/IKE personnalisée doit être appliquée à toutes les connexions de passerelle de réseau virtuel Azure Cette stratégie garantit que toutes les connexions de passerelle de réseau virtuel Azure utilisent une stratégie IPsec (Internet Protocol Security)/IKE (Internet Key Exchange). Algorithmes et forces de clé pris en charge - https://aka.ms/AA62kb0 Audit, Désactivé 1.0.0
Toutes les ressources du journal de flux doivent être en état activé Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.0.1
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Désactivé 2.0.1
Auditer la configuration des journaux de flux pour chaque réseau virtuel Auditez le réseau virtuel pour vérifier si les journaux de flux sont configurés. L’activation des journaux de flux permet de journaliser des informations sur le trafic IP transitant par le réseau virtuel. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.0.1
Azure Application Gateway doit être déployé avec Azure WAF Nécessite le déploiement de ressources Azure Application Gateway avec Azure WAF. Audit, Refuser, Désactivé 1.0.0
La stratégie de pare-feu Azure doit activer l’inspection TLS dans les règles d’application L’activation de l’inspection TLS est recommandée pour toutes les règles d’application pour détecter, alerter et atténuer les activités malveillantes dans HTTPS. Pour en savoir plus sur l’inspection TLS avec le Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect Audit, Refuser, Désactivé 1.0.0
Le pare-feu Azure Premium doit configurer un certificat intermédiaire valide pour activer l’inspection TLS Configurez un certificat intermédiaire valide et activez TLS sur le Pare-feu Azure inspection TLS pour détecter, alerter et atténuer les activités malveillantes en HTTPS. Pour en savoir plus sur l’inspection TLS avec le Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect Audit, Refuser, Désactivé 1.0.0
Les passerelles VPN Azure ne doivent pas utiliser la référence SKU « de base » Cette stratégie garantit que les passerelles VPN n’utilisent pas de référence SKU « de base ». Audit, Désactivé 1.0.0
L’inspection du corps de la demande doit être activée pour Azure Web Application Firewall sur Azure Application Gateway Vérifiez que l’inspection du corps de la demande est activée pour les instances Web Application Firewall associées à des instances Azure Application Gateway. Cela permet au WAF d’inspecter les propriétés dans le corps HTTP qui peuvent ne pas être évaluées dans les en-têtes HTTP, les cookies ou l’URI. Audit, Refuser, Désactivé 1.0.0
L’inspection du corps de la demande doit être activée pour Azure Web Application Firewall sur Azure Front Door Vérifiez que l’inspection du corps de la demande est activée pour les instances Web Application Firewall associées à Azure Front Door. Cela permet au WAF d’inspecter les propriétés dans le corps HTTP qui peuvent ne pas être évaluées dans les en-têtes HTTP, les cookies ou l’URI. Audit, Refuser, Désactivé 1.0.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Protection bot doit être activée pour WAF Azure Application Gateway Cette stratégie garantit que la protection bot est activée dans toutes les stratégies de pare-feu d’applications web (WAF) Azure Application Gateway Audit, Refuser, Désactivé 1.0.0
Protection bot doit être activée pour WAF Azure Front Door Cette stratégie garantit que la protection bot est activée dans toutes les stratégies de pare-feu d’applications web (WAF) Azure Front Door Audit, Refuser, Désactivé 1.0.0
La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) doit être vide dans la stratégie de pare-feu Premium La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) vous permet de ne pas filtrer le trafic vers les adresses IP, les plages et les sous-réseaux spécifiés dans cette liste. Toutefois, l’activation d’IDPS est recommandée pour tous les flux de trafic afin de mieux identifier les menaces connues. Pour en savoir plus sur les signatures d’Intrusion Detection and Prevention System (IDPS) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature Audit, Refuser, Désactivé 1.0.0
Configurer les paramètres de diagnostic pour les groupes de sécurité réseau Azure dans l’espace de travail Log Analytics Déployez les paramètres de diagnostic dans des groupes de sécurité réseau Azure afin de diffuser les journaux de ressources vers un espace de travail Log Analytics. DeployIfNotExists, Désactivé 1.0.0
Configurer les groupes de sécurité réseau pour activer Traffic Analytics Vous pouvez activer Traffic Analytics pour tous les groupes de sécurité réseau hébergés dans une région particulière avec les paramètres fournis durant la création de la stratégie. Si Traffic Analytics est déjà activé, la stratégie ne remplace pas ses paramètres. Les journaux de flux sont également activés pour les groupes de sécurité réseau qui n’en disposent pas. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. DeployIfNotExists, Désactivé 1.2.0
Configurer des groupes de sécurité réseau pour utiliser un espace de travail, un compte de stockage et une stratégie de rétention de flux spécifiques pour l’analyse du trafic Si Traffic Analytics est déjà activé, la stratégie remplace ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. DeployIfNotExists, Désactivé 1.2.0
Configurer un réseau virtuel pour activer le journal de flux et Traffic Analytics Traffic Analytics et les journaux de flux peuvent être activés pour tous les réseaux virtuels hébergés dans une région particulière, avec les paramètres fournis lors de la création de la stratégie. Cette stratégie ne remplace pas le paramètre actuel pour les réseaux virtuels qui ont déjà cette fonctionnalité activée. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. DeployIfNotExists, Désactivé 1.1.1
Configurer des réseaux virtuels pour appliquer un espace de travail, un compte de stockage et un intervalle de rétention pour les journaux de flux et Traffic Analytics Si un réseau virtuel a déjà activé Traffic Analytics, la stratégie remplace alors ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. DeployIfNotExists, Désactivé 1.1.2
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Déployer une ressource de journal de flux avec un groupe de sécurité réseau cible Configure le journal de flux pour un groupe de sécurité réseau spécifique. Il permettra à de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. deployIfNotExists 1.1.0
Déployer une ressource de journal de flux avec un réseau virtuel cible Configure le journal de flux pour un réseau virtuel spécifique. Cela permet de journaliser des informations sur le trafic IP transitant par un réseau virtuel. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. DeployIfNotExists, Désactivé 1.1.1
Déployer Network Watcher lors de la création de réseaux virtuels Cette stratégie crée une ressource Network Watcher dans des régions avec des réseaux virtuels. Vous devez vérifier l’existence d’un groupe de ressources nommé networkWatcherRG, qui sert à déployer des instances de Network Watcher. DeployIfNotExists 1.0.0
Activer la règle de limitation du débit pour se protéger contre les attaques DDoS sur Azure Front Door WAF La règle de limitation du débit du pare-feu d’applications web (WAF) Azure pour Azure Front Door contrôle le nombre de requêtes autorisées à partir d’une adresse IP cliente particulière à l’application pendant une durée de limitation du débit. Audit, Refuser, Désactivé 1.0.0
Event Hub doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
La stratégie de pare-feu Premium doit activer toutes les règles de signature IDPS pour surveiller tous les flux de trafic entrant et sortant L’activation de toutes les règles de signature IDPS (Intrusion Detection and Prevention System) est recommandée pour mieux identifier les menaces connues dans les flux de trafic. Pour en savoir plus sur les signatures d’Intrusion Detection and Prevention System (IDPS) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature Audit, Refuser, Désactivé 1.0.0
La stratégie de pare-feu Premium doit activer le système de détection et de prévention des intrusions (IDPS) Activer l’IDPS (Intrusion Detection and Prevention System) vous permet de surveiller les activités malveillantes, de consigner des informations sur ces activités, de les signaler, voire de les bloquer. Pour en savoir plus sur IDPS (Intrusion Detection and Prevention System) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps Audit, Refuser, Désactivé 1.0.0
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.1.0
Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. deny 1.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Migrer WAF de la configuration WAF vers la stratégie WAF sur Application Gateway Si vous avez une configuration WAF au lieu d’une stratégie WAF, vous pouvez passer à la nouvelle stratégie WAF. À l’avenir, la stratégie de pare-feu prendra en charge les paramètres de stratégie WAF, les ensembles de règles managés, les exclusions et les groupes de règles désactivés. Audit, Refuser, Désactivé 1.0.0
Les interfaces réseau doivent désactiver le transfert IP Cette stratégie refuse les interfaces réseau qui permettaient le transfert IP. Le paramètre de transfert IP désactive la vérification par Azure de la source et de la destination d’une interface réseau. Il doit être examiné par l’équipe de sécurité réseau. deny 1.0.0
Les interfaces réseau ne doivent pas avoir d’adresses IP publiques Cette stratégie refuse les interfaces réseau configurées avec une adresse IP publique. Les adresses IP publiques permettent aux ressources Internet de communiquer avec les ressources Azure et aux ressources Azure de communiquer avec Internet. Il doit être examiné par l’équipe de sécurité réseau. deny 1.0.0
Traffic Analytics doit être activé pour les journaux de flux Network Watcher Traffic Analytics examine les journaux de flux pour fournir des informations sur le flux de trafic de votre cloud Azure. Il peut être utilisé pour visualiser l’activité réseau de vos abonnements Azure ainsi que pour identifier les points d’accès, identifier les menaces de sécurité, comprendre les modèles de flux de trafic, identifier les problèmes de configuration réseau, etc. Audit, Désactivé 1.0.1
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
SQL Server doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
L’abonnement doit configurer le pare-feu Azure Premium pour fournir une couche de protection supplémentaire Le pare-feu Azure Premium offre une protection avancée contre les menaces qui répond aux besoins des environnements hautement sensibles et réglementés. Déployez le Pare-feu Azure Premium sur votre abonnement et assurez-vous que tout le trafic du service est protégé par le Pare-feu Azure Premium. Pour en découvrir plus sur le Pare-feu Azure Premium, visitez https://aka.ms/fw-premium AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0
Les réseaux virtuels doivent être protégés par Azure DDoS Protection Protégez vos réseaux virtuels contre les attaques volumétriques et de protocole avec Azure DDoS Protection. Pour plus d’informations, consultez https://aka.ms/ddosprotectiondocs. Modifier, Audit, Désactivé 1.0.1
Les réseaux virtuels doivent utiliser la passerelle de réseau virtuel spécifiée Cette stratégie audite les réseaux virtuels si la route par défaut ne pointe pas vers la passerelle de réseau virtuel spécifiée. AuditIfNotExists, Désactivé 1.0.0
Les passerelles VPN doivent utiliser uniquement l’authentification Azure AD (Azure Active Directory) pour les utilisateurs point à site La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. En savoir plus sur l’authentification Azure AD sur https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Web Application Firewall (WAF) doit activer toutes les règles de pare-feu pour Application Gateway L’activation de toutes les règles de Web Application Firewall (WAF) renforce la sécurité de votre application et protège vos applications web contre les vulnérabilités courantes. Pour en savoir plus sur Web Application Firewall (WAF) avec Application Gateway, visitez https://aka.ms/waf-ag Audit, Refuser, Désactivé 1.0.1
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Portail

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les tableaux de bord partagés ne doivent pas comporter de vignettes Markdown contenant du contenu inline N’autorisez pas la création d’un tableau de bord partagé comportant du contenu inline dans des vignettes Markdown. Imposez que le contenu soit stocké comme fichier Markdown hébergé en ligne. Si vous utilisez du contenu inline dans la vignette Markdown, vous ne pouvez pas gérer le chiffrement du contenu. En configurant votre propre stockage, vous pourrez effectuer un chiffrement, un chiffrement double et même une procédure Bring Your Own Key. Cette stratégie empêche les utilisateurs d’utiliser les versions 2020-09-01-preview et ultérieures de l’API REST des tableaux de bord partagés. Audit, Refuser, Désactivé 1.0.0

Résilience

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : le service Gestion des API doit être redondant interzone Le service Gestion des API peut être configuré pour être redondant interzone ou non. Un service Gestion des API est redondant interzone si son nom de référence SKU est 'Premium' et qu’il comporte au moins deux entrées dans son tableau de zones. Cette stratégie identifie les services Gestion des API qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. Audit, Refuser, Désactivé 1.0.1-preview
[Préversion] : les plans App Service doivent être redondants interzone Les plans App Service peuvent être configurés pour être redondants interzone ou non. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un plan App Service, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les plans App Service. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Passerelles Application Gateway doivent être résilientes aux zones Les passerelles Application Gateway peut être configuré pour être aligné sur la zone, redondant interzone ou aucun des deux. Les passerelles Application Gateway avec exactement une entrée dans leur tableau de zones sont considérés comme alignées sur la zone. En revanche, les passerelles Application Gateway avec 3 entrées ou plus dans leur tableau de zones sont reconnues comme redondantes interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : le service Recherche Azure AI doit être redondant interzone Le service Recherche Azure AI peut être configuré pour être redondant interzone ou non. Les zones de disponibilité sont utilisées lorsque vous ajoutez deux réplicas ou plus à votre service de recherche. Chaque réplica est placé dans une zone de disponibilité distincte au sein de la région. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Azure Cache pour Redis Enterprise et Flash doivent être redondants interzone Azure Cache pour Redis Enterprise et Flash peuvent être configurés pour être redondants interzone ou non. Les instances Azure Cache pour Redis Enterprise et Flash dont le tableau de zones contient moins de 3 entrées ne sont pas redondantes interzone. Cette stratégie identifie les instances Azure Cache pour Redis Enterprise et Flash qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. Audit, Refuser, Désactivé 1.0.0-preview
[préversion] : Azure Cache pour Redis doit être redondant interzone Azure Cache pour Redis peut être configuré pour être redondant interzone ou non. Les instances Azure Cache pour Redis dont le tableau de zones contient moins de 2 entrées ne sont pas redondantes interzone. Cette stratégie identifie les instances Azure Cache pour Redis qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les clusters Azure Data Explorer doivent être redondants interzones Vous pouvez configurer des clusters Azure Data Explorer pour qu’ils soient redondants interzones ou non. Un cluster Azure Data Explorer est considéré comme redondant interzone si son tableau de zones comprend au moins deux entrées. Cette stratégie permet de garantir que vos clusters Azure Data Explorer sont redondants interzones. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : le serveur flexible Azure Database pour MySQL doit être résilient à la zone Le serveur flexible Azure Database pour MySQL peut être configuré pour être aligné sur la zone, redondant interzone ou aucun des deux. Le serveur MySQL disposant d’un serveur de secours sélectionné dans la même zone pour la haute disponibilité est considéré comme aligné sur la zone. En revanche, un serveur MySQL qui dispose d’un serveur de secours sélectionné pour être dans une zone différente dans le cadre d’une haute disponibilité est reconnu comme redondant interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : le serveur flexible Azure Database pour PostgreSQL doit être résilient à la zone Le serveur flexible Azure Database pour PostgreSQL peut être configuré pour être aligné sur la zone, redondant interzone ou aucun des deux. Le serveur PostgreSQL disposant d’un serveur de secours sélectionné dans la même zone pour la haute disponibilité est considéré comme aligné sur la zone. En revanche, un serveur PostgreSQL qui dispose d’un serveur de secours sélectionné pour être dans une zone différente dans le cadre d’une haute disponibilité est reconnu comme redondant interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Azure HDInsight doit être aligné sur la zone Azure HDInsight peut être configuré pour être aligné sur la zone ou non. Azure HDInsight avec exactement une entrée dans son tableau de zones est considéré comme aligné sur la zone. Cette stratégie garantit qu’un cluster Azure HDInsight est configuré pour fonctionner dans une seule zone de disponibilité. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les clusters managés Azure Kubernetes Service doivent être redondants interzone Les clusters managés Azure Kubernetes Service peuvent être configurés pour être redondants interzones ou non. La stratégie vérifie les pools de nœuds dans le cluster et garantit que les zones de disponibilité sont définies pour tous les pools de nœuds. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Azure Managed Grafana doit être redondant interzone Azure Managed Grafana peut être configuré pour être redondant interzone ou non. Une instance Azure Managed Grafana est redondante interzone si sa propriété « zoneRedundancy » est définie sur « Activé ». L’application de cette stratégie vous permet de vérifier que Azure Managed Grafana est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Sauvegarde et Site Recovery doivent être redondants interzone Sauvegarde et Site Recovery peuvent être configurés pour être redondants interzone ou non. Sauvegarde et Site Recovery sont redondants interzone si la propriété 'standardTierStorageRedundancy' est définie sur 'ZoneRedundant'. L’application de cette stratégie vous permet de vérifier que Sauvegarde et Site Recovery sont configurés de manière appropriée pour la résilience à la zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les coffres de sauvegarde doivent être redondants interzone Les coffres de sauvegarde peuvent être configurés pour être redondants interzone ou non. Les coffres de sauvegarde sont redondants interzone si le type de paramètres de stockage est défini sur 'ZoneRedundant' et qu’ils sont considérés comme résilients. Les coffres de sauvegarde géoredondants ou localement redondants ne sont pas considérés comme résilients. L’application de cette stratégie vous permet de vérifier que les coffres de sauvegarde sont configurés de manière appropriée pour la résilience à la zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : l’application conteneur doit être redondante interzone L’application conteneur peut être configurée pour être redondante interzone ou non. Une application conteneur est redondante interzone si la propriété 'ZoneRedundant' de son environnement managé est définie sur 'true'. Cette stratégie identifie l’application conteneur qui ne dispose pas de la redondance nécessaire pour résister à une panne de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Container Instances doit être aligné sur la zone Container Instances peut être configuré pour être aligné sur la zone ou non. Elles sont considérées comme alignées sur la zone si elles n’ont qu’une seule entrée dans leur tableau de zones. Cette stratégie garantit qu’elles sont configurées pour fonctionner dans une seule zone de disponibilité. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Container Registry doit être redondant interzone Container Registry peut être configuré pour être redondant interzone ou non. Lorsque la propriété zoneRedundancy pour un registre de conteneurs est définie sur « Désactivée », cela signifie que le registre n’est pas redondant interzone. L’application de cette stratégie vous permet de vérifier que votre registre de conteneurs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les comptes de base de données Cosmos doivent être redondants interzone Les comptes de base de données Cosmos peuvent être configurés pour être redondants interzones ou non. Si la valeur « enableMultipleWriteLocations » est définie sur « true », tous les emplacements doivent avoir une propriété « isZoneRedundant » et être définis sur « true ». Si la valeur « enableMultipleWriteLocations » est définie sur « false », l’emplacement principal (« failoverPriority » défini sur 0) doit avoir une propriété « isZoneRedundant » et être défini sur « true ». L’application de cette stratégie garantit que les comptes de base de données Cosmos sont correctement configurés pour la redondance de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Event Hubs doit être redondant interzone Event Hubs peut être configuré pour être redondant interzone ou non. Event Hubs est redondant interzone si sa propriété « zoneRedundant » est définie sur « true ». L’application de cette stratégie vous permet de vérifier que Event Hubs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les pare-feux doivent être résilients à la zone Les pare-feux peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les pare-feux avec exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les pare-feux avec 3 entrées ou plus dans leur tableau de zones sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les équilibreurs de charge doivent être résilients à la zone Les équilibreurs de charge avec une référence SKU autre que 'De base' héritent de la résilience des adresses IP publiques dans leur front-end. Associée à la stratégie 'Les adresses IP publiques doivent être résilientes à la zone', cette approche garantit la redondance nécessaire pour résister à une panne de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les Disques managés doivent être résilients à la zone Les Disques managés peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les Disques managés avec exactement une affectation de zone sont alignés sur la zone. Les Disques managés portant un nom de référence SKU qui se terminent par ZRS sont redondants interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience pour les Disques managés. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : la passerelle NAT doit être alignée La passerelle NAT peut être configurée pour être alignée sur la zone ou non. La passerelle NAT avec exactement une entrée dans son tableau de zones est considérée comme alignée sur la zone. Cette stratégie garantit qu’une passerelle NAT est configurée pour fonctionner dans une seule zone de disponibilité. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les adresses IP publiques doivent être résilientes à la zone Les adresses IP publiques peuvent être configurés pour être alignées sur la zone, redondantes interzone ou aucune des deux. Les adresses IP publiques qui sont régionales, avec exactement une entrée dans leur tableau de zones sont considérées comme alignées sur la zone. En revanche, les adresses IP publiques qui sont régionales, avec 3 entrées ou plus dans leur tableau de zones sont reconnues comme redondantes interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.1.0-preview
[Préversion] : les préfixes d’adresse IP publiques doivent être résilients à la zone Les préfixes d’adresse IP publiques peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les préfixes d’adresse IP publiques qui ont exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les préfixes d’adresse IP publiques avec 3 entrées ou plus dans leur tableau de zones sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] Service Bus doit être redondant au niveau de la zone Service Bus peut être configuré pour être ou non redondant au niveau de la zone. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un Service Bus, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les instances Service Bus. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les clusters Service Fabric doivent être redondants interzone Les clusters Service Fabric peuvent être configurés pour être redondants interzone ou non. Les clusters Service Fabric dont le nodeType n’a pas multipleAvailabilityZones défini sur true ne sont pas redondants interzone. Cette stratégie identifie les clusters Service Fabric qui ne disposent pas de la redondance nécessaire pour résister à une panne de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les bases de données SQL doivent être redondantes interzone Les bases de données SQL peuvent être configurées pour être redondantes interzone ou non. Les bases de données avec le paramètre « zoneRedundant » défini sur « false » ne sont pas configurées pour la redondance de zone. Cette stratégie permet d’identifier les bases de données SQL nécessitant une configuration de redondance de zone pour améliorer la disponibilité et la résilience au sein d’Azure. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les pools de bases de données élastiques SQL doivent être redondants interzone Les pools de bases de données élastiques SQL peuvent être configurés pour être redondants interzones ou non. Les pools de bases de données élastiques SQL sont redondants interzone si leur propriété « zoneRedundant » est définie sur « true ». L’application de cette stratégie vous permet de vérifier que Event Hubs est configuré de manière appropriée pour la résilience de zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les instances managées SQL doivent être redondantes interzone Les instances managées SQL peuvent être configurées pour être redondantes interzones ou non. Les instances avec le paramètre « zoneRedundant » défini sur « false » ne sont pas configurées pour la redondance de zone. Cette stratégie permet d’identifier les instances managées SQL qui ont besoin d’une configuration de redondance de zone pour améliorer la disponibilité et la résilience au sein d’Azure. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les comptes de stockage doivent être redondants interzone Les comptes de stockage peuvent être configurés pour être redondants interzones ou non. Si le nom de la référence SKU d’un compte de stockage ne se termine pas par « ZRS » ou son type est « Stockage », il n’est pas redondant interzone. Cette stratégie garantit que vos comptes de stockage utilisent une configuration redondante interzone. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les groupes de machines virtuelles identiques doivent être résilients aux zones Les groupes de machines virtuelles identiques peuvent être configurés pour être alignés sur la zone, redondants interzone ou aucun des deux. Les groupes de machines virtuelles identiques qui ont exactement une entrée dans leur tableau de zones sont considérés comme alignés sur la zone. En revanche, les groupes de machines virtuelles identiques avec 3 entrées ou plus dans leur tableau de zones et une capacité d’au moins 3 sont reconnus comme redondants interzones. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : les machines virtuelles doivent être alignées sur la zone Les machines virtuelles peuvent être configurées pour être alignées sur la zone ou non. Elles sont considérées comme alignées sur la zone si elles n’ont qu’une seule entrée dans leur tableau de zones. Cette stratégie garantit qu’elles sont configurées pour fonctionner dans une seule zone de disponibilité. Audit, Refuser, Désactivé