Définitions intégrées d’Azure Policy pour Azure App Service
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Azure App Service. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure App Service
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les plans App Service doivent être redondants interzone | Les plans App Service peuvent être configurés pour être redondants interzone ou non. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un plan App Service, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les plans App Service. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les emplacements d’application App Service doivent être injectés dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements de l’application App Service doivent désactiver l'accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements des applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure | Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure | Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.4 |
| Le débogage à distance doit être désactivé pour les emplacements des applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressource doivent être activés pour les emplacements des applications App Service | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 1.0.0 |
| Pour permettre à toutes les ressources d’accéder à vos applications, aucun CORS ne doit être configuré dans vos emplacements d’application App Service | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent être accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent Java doivent utiliser une 'version de Java' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent être injectées dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 3.0.0 |
| Les applications App Service doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.1.0 |
| Les applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure | Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.0.0 |
| Les applications App Service doivent activer le trafic sortant non-RFC 1918 vers Azure Réseau virtuel | Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification doit être activée pour les applications App Service | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée | Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | Audit, Refuser, Désactivé | 4.1.0 |
| Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel | Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service qui utilisent Java doivent utiliser une « version de Java » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications App Service qui utilisent PHP doivent utiliser une « version de PHP » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les applications App Service qui utilisent Python doivent utiliser une « version de Python » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les applications App Service Environment ne doivent pas être accessibles via Internet public | Pour garantir que les applications déployées dans App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans le réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, App Service Environment doit être déployé avec un équilibreur de charge interne. | Audit, Refuser, Désactivé | 3.0.0 |
| App Service Environment doit être configuré avec les suites de chiffrement TLS les plus fortes | Les deux suites de chiffrement minimales les plus fortes requises pour App Service Environment sont les suivantes : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Désactivé | 1.0.0 |
| App Service Environment doit être approvisionné avec les dernières versions | Autorisez uniquement la configuration d’App Service Environment version 2 ou 3. Les versions antérieures d’App Service Environment nécessitent une gestion manuelle des ressources Azure et présentent des limitations de mise à l’échelle accrues. | Audit, Refuser, Désactivé | 1.0.0 |
| App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| App Service Environment doit avoir TLS 1.0 et 1.1 désactivés | Les protocoles TLS 1.0 et 1.1 sont des protocoles obsolètes qui ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans App Service Environment. | Audit, Refuser, Désactivé | 2.0.1 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements des applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts dans une application de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.0.1 |
| Activer la journalisation par groupe de catégories pour App Service (microsoft.web/sites) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les environnements App Service (microsoft.web/hostingenvironments) sur Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour les environnements App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les environnements App Service (microsoft.web/hostingenvironments) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les environnements App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activez la journalisation par groupe de catégories pour les environnements App Service (microsoft.web/hostingenvironments) pour Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte Stockage des environnements App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour une application de fonction (microsoft.web/sites) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour une application de fonction (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les emplacements des applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements d’application de fonction doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application de fonction qui utilisent Python doivent utiliser une 'version de Python' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| L’authentification doit être activée pour les applications de fonction | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications de fonction qui utilisent Java doivent utiliser une « version de Java » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications de fonction qui utilisent Python doivent utiliser une « version de Python » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.