Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page est un index des définitions de stratégie intégrées Azure Policy pour Recherche d’IA Azure. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Recherche d’IA Azure
| Nom (Portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : le service recherche Azure AI devrait être redondant au niveau de la zone | Le service Azure AI Search peut être configuré avec ou sans redondance au niveau des zones. Les zones de disponibilité sont exploitées lorsque deux réplicas ou davantage sont ajoutés au service de recherche. Chaque réplica est placé dans une zone de disponibilité distincte au sein de la région. | Audit, Refuser, Désactivé | 1.0.0-prévision |
| Le service Azure AI Search doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les SKU pris en charge par Azure AI Search, Azure Private Link permet de relier votre réseau virtuel aux services Azure sans exposer d’adresse IP publique ni côté source ni côté destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.1 |
| Les services Azure AI Search doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public renforce la sécurité en garantissant que le service Azure AI Search n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.1 |
| Les services de recherche Azure AI doivent désactiver les méthodes d’authentification locales | La désactivation des méthodes d’authentification locales renforce la sécurité en imposant l’utilisation exclusive d’identités Azure Active Directory pour l’authentification aux services Azure AI Search. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. Veuillez noter que, bien que le paramètre de désactivation de l’authentification locale soit encore en préversion, l’effet de refus associé peut entraîner des limitations fonctionnelles dans le portail Azure AI Search, certaines fonctionnalités du portail reposant sur l’API GA qui ne prend pas en charge ce paramètre. | Audit, Refuser, Désactivé | 1.0.1 |
| Les services de recherche Azure AI doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’activation du chiffrement des données au repos à l’aide d’une clé gérée par le client pour vos services Azure AI Search offre un niveau de contrôle supplémentaire sur la clé utilisée pour le chiffrement. Cette fonctionnalité est souvent applicable aux clients ayant des exigences de conformité spéciales pour gérer des clés de chiffrement de données à l’aide d’un coffre de clés. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé, correspondant à l’authentification locale. Azure OpenAI Studio, généralement utilisé dans des contextes de développement ou de test, requiert un accès par clé et ne peut pas fonctionner lorsque cet accès est désactivé. Après la désactivation, Microsoft Entra ID devient l’unique méthode d’accès, ce qui permet de respecter le principe du moindre privilège et d’assurer un contrôle fin des autorisations. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez garantir que seuls les réseaux autorisés disposent d’un accès au service. Pour cela, configurez des règles réseau afin que seules les applications issues de réseaux approuvés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.3.0 |
| Les ressources Azure AI Services doivent utiliser Azure Private Link | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La liaison privée réduit les risques de fuite de données en assurant la connectivité entre le consommateur et les services via le réseau principal Azure. Pour en savoir plus sur les liaisons privées, veuillez consulter : https://aka.ms/AzurePrivateLink/Overview | Audit, Désactivé | 1.0.0 |
| Configurer les services de recherche Azure AI pour désactiver l’authentification locale | Désactivez les méthodes d’authentification locales afin que les services Azure AI Search requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. | Modifier, Désactivé | 2.0.0 |
| Configurer les services de recherche Azure AI pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public de votre service Azure AI Search afin qu’il ne soit pas accessible depuis l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modifier, Désactivé | 1.0.1 |
| Configurer les services Recherche Azure AI pour imposer des clés gérées par le client afin de chiffrer les données au repos | L’activation du chiffrement des données au repos à l’aide d’une clé gérée par le client pour vos services Azure AI Search offre un niveau de contrôle supplémentaire sur la clé utilisée pour le chiffrement. Cette fonctionnalité est souvent applicable aux clients ayant des exigences de conformité spéciales pour gérer des clés de chiffrement de données à l’aide d’un coffre de clés. | Refuser, désactiver | 1.0.1 |
| Configurer les services de recherche Azure AI avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés vers votre service Azure AI Search, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les ressources Azure AI Services pour désactiver l’accès aux clés locales (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès par clé, correspondant à l’authentification locale. Azure OpenAI Studio, généralement utilisé dans des contextes de développement ou de test, requiert un accès par clé et ne peut pas fonctionner lorsque cet accès est désactivé. Après la désactivation, Microsoft Entra ID devient l’unique méthode d’accès, ce qui permet de respecter le principe du moindre privilège et d’assurer un contrôle fin des autorisations. Plus d’informations sur : https://aka.ms/AI/auth | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur Event Hub | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un hub d’événements régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.0 |
| Déployer les paramètres de diagnostic des services de recherche sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un espace de travail Log Analytics régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les journaux de diagnostic dans les ressources Azure AI services doivent être activés | Activez les journaux d’activité pour les ressources des services Azure AI. Cela permet de reconstituer des pistes d’activité à des fins d’investigation lorsqu’un incident de sécurité survient ou que le réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.0 |
| Activer les journaux d’activité par groupe de catégories pour les services de recherche (microsoft.search/searchservices) vers Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic en utilisant un groupe de catégories afin d’acheminer les journaux d’activité vers un hub d’événements pour les services de recherche (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les services de recherche (microsoft.search/searchservices) vers l’analytique des journaux d’activité | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic en utilisant un groupe de catégories afin d’acheminer les journaux d’activité vers un espace de travail d’analytique des journaux pour les services de recherche (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les services de recherche (microsoft.search/searchservices) vers le stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic en utilisant un groupe de catégories afin d’acheminer les journaux d’activité vers un compte de stockage pour les services de recherche (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.