Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a lap a Azure Policy Azure Virtual Network beépített szabályzatdefinícióinak indexe. További Azure Policy beépített szolgáltatásokért lásd: Azure Policy beépített definíciók.
Az egyes beépített szabályzatdefiníciók neve a szabályzatdefinícióra hivatkozik a Azure portálon. A Version oszlop hivatkozásával megtekintheti a forrást a Azure Policy GitHub adattárban.
Azure Virtual Network
| Name (Azure portál) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center megállapította, hogy egyes alhálózatok nem védettek a következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetések ellen a hozzáférés korlátozásával Azure Firewall vagy egy támogatott következő generációs tűzfallal | AuditIfNotExists, kikapcsolva | 3.0.0-preview | |
| [Előzetes verzió]: A tárolóregisztrációs adatbázisnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan tárolóregisztrációs adatbázist, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Auditálás, kikapcsolva | 1.0.0-preview |
| A egyéni IPsec/IKE-házirendet minden Azure virtuális hálózati átjárókapcsolatra alkalmazni kell | Ez a házirend biztosítja, hogy minden Azure virtuális hálózati átjáró-kapcsolat egyéni Ipsec-/Internet Key Exchange(IKE-) házirendet használjon. Támogatott algoritmusok és kulcserősség – https://aka.ms/AA62kb0 | Auditálás, kikapcsolva | 1.0.0 |
| Minden folyamatnapló-erőforrásnak engedélyezett állapotban kell lennie | Naplóerőforrások naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a folyamatnapló állapota. A folyamatnaplók engedélyezésével naplózhatja az IP-forgalommal kapcsolatos információkat. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Auditálás, kikapcsolva | 1.0.1 |
| Az App Service-alkalmazásoknak virtuális hálózati szolgáltatásvégpontot kell használniuk | A virtuális hálózati szolgáltatásvégpontok használatával korlátozhatja az alkalmazáshoz való hozzáférést egy Azure virtuális hálózat kijelölt alhálózataiból. Ha többet szeretne megtudni az App Service-szolgáltatás végpontjairól, látogasson el https://aka.ms/appservice-vnet-service-endpointide. | AuditIfNotExists, kikapcsolva | 2.0.1 |
| Folyamatnaplók konfigurációjának naplózása minden virtuális hálózathoz | A virtuális hálózat naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a virtuális hálózaton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Auditálás, kikapcsolva | 1.0.1 |
| a tárolók Azure Application Gateway biztonsági szabályzatokkal kell rendelkeznie | Biztosítja, hogy az Application Gateway for Containers legalább egy biztonsági szabályzatot konfigurált | AuditIfNotExists, kikapcsolva | 1.0.0 |
| Azure WAF-hez Azure Application Gateway erőforrásokat kell üzembe helyezni. | Naplózás, megtagadás, letiltva | 1.0.0 | |
| Azure Firewall a klasszikus szabályokat át kell telepíteni a tűzfalszabályzatba | Migrálás Azure Firewall klasszikus szabályokról tűzfalszabályzatra a központi felügyeleti eszközök, például a Azure Firewall Manager használatához. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Firewall Házirend-elemzésnek engedélyezve kell lennie | A Policy Analytics engedélyezése nagyobb átláthatóságot biztosít a Azure Firewall áthaladó forgalom számára, így lehetővé teszi a tűzfalkonfiguráció optimalizálását az alkalmazás teljesítményének befolyásolása nélkül | Auditálás, kikapcsolva | 1.0.0 |
| Azure Firewall szabályzatnak engedélyeznie kell a fenyegetésfelderítést | Engedélyezheti a veszélyforrás-felderítésen alapuló szűrést a tűzfalon az ismert kártékony IP-címekről és tartományokból származó vagy ezek felé irányuló adatforgalommal kapcsolatos riasztáshoz, illetve a forgalom letiltásához. Az IP-címek és a tartományok a Microsoft Threat Intelligence-hírcsatornából származnak. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Firewall házirendben engedélyezve kell lennie a DNS-proxynak | A DNS-proxy engedélyezésével a házirendhez társított Azure Firewall figyeli az 53-as portot, és továbbítja a DNS-kérelmeket a megadott DNS-kiszolgálónak | Auditálás, kikapcsolva | 1.0.0 |
| A nagyobb rendelkezésre állás érdekében javasoljuk, hogy helyezze üzembe a Azure Firewall több Availability Zones. Ez biztosítja, hogy a Azure Firewall zónahiba esetén is elérhető maradjon. | Naplózás, megtagadás, letiltva | 1.0.0 | |
| Azure Firewall Standard – A klasszikus szabályoknak engedélyeznie kell a fenyegetésfelderítést | Engedélyezheti a veszélyforrás-felderítésen alapuló szűrést a tűzfalon az ismert kártékony IP-címekről és tartományokból származó vagy ezek felé irányuló adatforgalommal kapcsolatos riasztáshoz, illetve a forgalom letiltásához. Az IP-címek és a tartományok a Microsoft Threat Intelligence-hírcsatornából származnak. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Firewall Standardot prémium szintűre kell frissíteni a következő generációs védelemhez | Ha olyan új generációs védelmet keres, mint az IDPS és a TLS-ellenőrzés, érdemes lehet a Azure Firewall Prémium termékváltozatra frissítenie. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure VPN-átjárók nem használhatnak "alapszintű" termékváltozatot | Ez a szabályzat biztosítja, hogy a VPN-átjárók ne használják az "alapszintű" termékváltozatot. | Auditálás, kikapcsolva | 1.0.0 |
| Azure Web Application Firewall Azure Application Gateway engedélyezve kell lennie a kérelem törzsvizsgálatának | Győződjön meg arról, hogy a Azure-alkalmazás átjárókhoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelem törzsvizsgálata. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Web Application Firewall Azure Front Door engedélyezve kell lennie a kérelem törzsvizsgálatának | Győződjön meg arról, hogy a Azure Front Doorshoz társított webalkalmazási tűzfalak engedélyezve vannak a törzsvizsgálatra vonatkozó kérésekkel. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Web Application Firewall engedélyezve kell lennie Azure Front Door belépési pontokhoz | Helyezzen üzembe Azure Web Application Firewall (WAF) a nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági résekkel és biztonsági résekkel, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Bot Protectiont engedélyezni kell Azure Application Gateway WAF-hez | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure Application Gateway Web Application Firewall (WAF) házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| Bot Protectiont engedélyezni kell Azure Front Door WAF | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure Front Door Web Application Firewall (WAF-) házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Azure hálózati biztonsági csoportok diagnosztikai beállításainak konfigurálása a munkaterület Log Analytics | Diagnosztikai beállítások üzembe helyezése a hálózati biztonsági csoportok Azure erőforrásnaplók Log Analytics munkaterületre való streameléséhez. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| Hálózati biztonsági csoportok konfigurálása a forgalomelemzés engedélyezéséhez | A forgalomelemzés egy adott régióban üzemeltetett összes hálózati biztonsági csoport számára engedélyezhető a szabályzat létrehozása során megadott beállításokkal. Ha már engedélyezve van a Traffic Analytics, akkor a szabályzat nem írja felül a beállításait. A folyamatnaplók azokhoz a hálózati biztonsági csoportokhoz is engedélyezve vannak, amelyek nem rendelkeznek vele. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | TelepítsdHaNemLétezik, Kikapcsolva | 1.2.0 |
| Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és folyamatnapló-adatmegőrzési szabályzat használatára a forgalomelemzéshez | Ha már engedélyezve van a forgalomelemzés, akkor a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | TelepítsdHaNemLétezik, Kikapcsolva | 1.2.0 |
| Virtuális hálózat konfigurálása a Flow Log és a Traffic Analytics engedélyezéséhez | A forgalomelemzés és a flow-naplók egy adott régióban üzemeltetett összes virtuális hálózat esetében engedélyezhetők a szabályzat létrehozása során megadott beállításokkal. Ez a szabályzat nem írja felül azoknak a virtuális hálózatoknak az aktuális beállítását, amelyeken már engedélyezve van ez a funkció. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | TelepítsdHaNemLétezik, Kikapcsolva | 1.1.1 |
| Virtuális hálózatok konfigurálása a munkaterület, a tárfiók és a megőrzési időköz kényszerítéséhez a Flow-naplókhoz és a Traffic Analyticshez | Ha egy virtuális hálózatban már engedélyezve van a forgalomelemzés, akkor ez a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | TelepítsdHaNemLétezik, Kikapcsolva | 1.1.2 |
| A Cosmos DB-nek virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Cosmos DB-t, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Auditálás, kikapcsolva | 1.0.0 |
| A VNet flowlog Traffic Analytics központi Log Analytics munkaterületének létrehozása a megadott erőforráscsoportban | Hozzon létre egy központi Log Analytics-munkaterületet a hozzárendelt hatókörben és az nwtarg-<subscriptionID> erőforráscsoportban alapértelmezés szerint a VNet-folyamatnaplókhoz. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| Regionális NetworkWatcher létrehozása a NetworkWatcherRG-ben virtuális hálózati folyamatnaplókhoz | Ez a szabályzat létrehoz egy Network Watcher a megadott régióban a folyamatnaplók virtuális hálózatokhoz való engedélyezéséhez. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| Regionális tárfiók létrehozása virtuális hálózatok folyamatnaplóihoz a resourceGroupName RG-ben | Létrehoz egy regionális tárfiókot a hozzárendelt hatókörben és az nwtarg-subscriptionID<> erőforráscsoportban alapértelmezés szerint a VNet-folyamatnaplókhoz. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| Folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoporttal | Konfigurálja a folyamatnaplót adott hálózati biztonsági csoporthoz. Lehetővé teszi a hálózati biztonsági csoporton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | deployIfNotExists | 1.1.0 |
| Folyamatnapló-erőforrás üzembe helyezése cél virtuális hálózattal | Konfigurálja a folyamatnaplót adott virtuális hálózathoz. Lehetővé teszi a virtuális hálózaton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | TelepítsdHaNemLétezik, Kikapcsolva | 1.1.1 |
| Network Watcher üzembe helyezése virtuális hálózatok létrehozásakor | Ez a szabályzat létrehoz egy hálózatfigyelő erőforrást a virtuális hálózatokkal rendelkező régiókban. Meg kell győződnie arról, hogy létezik egy networkWatcherRG nevű erőforráscsoport, amely a Network Watcher-példányok üzembe helyezéséhez lesz használva. | DeployIfNotExists | 1.0.0 |
| Virtuális hálózatok forgalmi naplóinak üzembe helyezése a Traffic Analytics használatával regionális tárolóval és központosított Log Analytics. A szervizelés előtt győződjön meg arról, hogy a resourceGroupName erőforráscsoport, tárfiók, Log Analytics munkaterület, Network Watcher már telepítve van. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 | |
| Enable Rate Limit rule to protect against DDoS attacks on Azure Front Door WAF | A Azure Front Door Azure Web Application Firewall (WAF) sebességkorlátozási szabálya szabályozza az adott ügyfél IP-címéről az alkalmazásra irányuló kérelmek számát a sebességkorlát időtartama alatt. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Event Hubnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan eseményközpontot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, kikapcsolva | 1.0.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Auditálás, kikapcsolva | 1.1.0 |
| Az átjáróalhálózatokat nem szabad hálózati biztonsági csoporttal konfigurálni | Ez a szabályzat tagadja, hogy egy átjáróalhálózat hálózati biztonsági csoporttal van-e konfigurálva. Ha hálózati biztonsági csoportot rendel egy átjáróalhálózathoz, az az átjáró működését leállítja. | deny | 1.0.0 |
| Key Vault virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Key Vault, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Auditálás, kikapcsolva | 1.0.0 |
| WAF migrálása WAF-konfigurációból WAF-szabályzatba az Application Gatewayen | Ha WAF-szabályzat helyett WAF-konfigurációval rendelkezik, akkor érdemes lehet az új WAF-szabályzatra váltania. A tűzfalszabályzat a jövőben támogatja a WAF-házirend beállításait, a felügyelt szabálykészleteket, a kizárásokat és a letiltott szabálycsoportokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A hálózati adaptereknek le kell tiltania az IP-továbbítást | Ez a szabályzat nem engedélyezi az IP-továbbítást engedélyező hálózati adaptereket. Az IP-továbbítás beállítása letiltja Azure hálózati adapter forrásának és céljának ellenőrzését. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | deny | 1.0.0 |
| A hálózati adaptereknek nem szabad nyilvános IP-címekkel rendelkezniük | Ez a szabályzat tagadja a nyilvános IP-címmel konfigurált hálózati adaptereket. A nyilvános IP-címek lehetővé teszik az internetes erőforrások számára a bejövő kommunikációt Azure erőforrások felé, és Azure erőforrásokat az internet felé irányuló kimenő kommunikációhoz. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | deny | 1.0.0 |
| Network Watcher folyamatnaplókban engedélyezve kell lennie a forgalomelemzésnek | A Traffic Analytics elemzi a folyamatnaplókat, hogy betekintést nyújtson a Azure felhőbe irányuló forgalomba. Segítségével megjelenítheti a hálózati tevékenységeket az Azure-előfizetésekben, azonosíthatja a gyakori pontokat, azonosíthatja a biztonsági fenyegetéseket, megértheti a forgalmi mintákat, rögzítheti a hálózati helytelen konfigurációkat stb. | Auditálás, kikapcsolva | 1.0.1 |
| Network Watcher engedélyezni kell | Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén a Azure. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, kikapcsolva | 3.0.0 |
| A nyilvános IP-címeknek és a nyilvános IP-előtagoknak FirstPartyUsage címkével kell rendelkezniük | Győződjön meg arról, hogy minden nyilvános IP-cím és nyilvános IP-előtag rendelkezik FirstPartyUsage címkével. | Naplózás, megtagadás, letiltva | 1.1.0 |
| SQL Server virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan SQL Server, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, kikapcsolva | 1.0.0 |
| A tárfiókok virtuális hálózati szolgáltatásvégpontot használnak | Ez a szabályzat naplóz minden olyan tárfiókot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Auditálás, kikapcsolva | 1.0.0 |
| Az alhálózatoknak privátnak kell lenniük | Az alapértelmezett kimenő hozzáférés megakadályozásával győződjön meg arról, hogy az alhálózatok alapértelmezés szerint biztonságosak. További információ: https://aka.ms/defaultoutboundaccessretirement | Naplózás, megtagadás, letiltva | 1.1.0 |
| Helyezzen üzembe egy Azure Firewall a Virtual Hubsban az internetes kimenő és bejövő forgalom védelme és részletes szabályozása érdekében. | Naplózás, megtagadás, letiltva | 1.0.0 | |
| A virtuális gépeket jóváhagyott virtuális hálózathoz kell csatlakoztatni | Ez a szabályzat naplóz minden olyan virtuális gépet, amely nem jóváhagyott virtuális hálózathoz csatlakozik. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Virtual hálózatokat Azure DDoS Protection | A Azure DDoS Protection használatával védheti virtuális hálózatait a kötet- és protokolltámadások ellen. További információ: https://aka.ms/ddosprotectiondocs. | Módosítás, naplózás, letiltva | 1.0.1 |
| A virtuális hálózatoknak a megadott virtuális hálózati átjárót kell használniuk | Ez a szabályzat minden virtuális hálózatot naplóz, ha az alapértelmezett útvonal nem a megadott virtuális hálózati átjáróra mutat. | AuditIfNotExists, kikapcsolva | 1.0.0 |
| VPN-átjárók csak Azure Active Directory (Azure AD) hitelesítést használnak a pont–hely felhasználók számára | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy a VPN-átjárók csak Azure Active Directory identitásokat használnak a hitelesítéshez. További információ az AD-hitelesítés Azure https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Naplózás, megtagadás, letiltva | 1.0.0 |
| Web Application Firewall (WAF) engedélyezve kell lennie az Application Gatewayhez | Helyezzen üzembe Azure Web Application Firewall (WAF) a nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági résekkel és biztonsági résekkel, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Web Application Firewall (WAF) a megadott módot használja az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Application Gateway összes Web Application Firewall szabályzatában aktívnak kell lennie. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Web Application Firewall (WAF) a megadott módot használja Azure Front Door Service | A "Detektálási" vagy a "Megelőzési" mód használatát arra kötelezi, hogy aktív legyen az Azure Front Door Service Web Application Firewall összes házirendjén. | Naplózás, megtagadás, letiltva | 1.0.0 |
Tags
| Name (Azure portál) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Címke hozzáadása erőforráscsoportokhoz | Hozzáadja a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforráscsoportot, amelyből hiányzik a címke. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | modify | 1.0.0 |
| Címke hozzáadása erőforrásokhoz | Hozzáadja a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforrást, amelyből hiányzik a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. Nem módosítja az erőforráscsoportokon lévő címkéket. | modify | 1.0.0 |
| Címke hozzáadása előfizetésekhez | A megadott címkét és értéket egy szervizelési feladaton keresztül adja hozzá az előfizetésekhez. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. A szabályzatok szervizelésére vonatkozó további információkért lásd https://aka.ms/azurepolicyremediation . | modify | 1.0.0 |
| Erőforráscsoport-címke hozzáadása vagy cseréje | Hozzáadja vagy lecseréli a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy erőforráscsoportot. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. | modify | 1.0.0 |
| Erőforrásokra vonatkozó címke hozzáadása vagy cseréje | Hozzáadja vagy lecseréli a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. Nem módosítja az erőforráscsoportokon lévő címkéket. | modify | 1.0.0 |
| Címke hozzáadása vagy cseréje előfizetéseken | Szervizelési feladaton keresztül hozzáadja vagy lecseréli a megadott címkét és értéket az előfizetéseken. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. A szabályzatok szervizelésére vonatkozó további információkért lásd https://aka.ms/azurepolicyremediation . | modify | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforráscsoportból | Hozzáfűzi a megadott címkét és értéket az erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A szabályzat alkalmazása előtt létrehozott erőforrások címkéit nem módosítja, amíg maguk az erőforrások meg nem változnak. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűz | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforráscsoportokhoz | Hozzáfűzi a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforráscsoportot, amelyből hiányzik a címke. A szabályzat alkalmazása előtt létrehozott erőforráscsoportok címkéit nem módosítja, amíg maguk az erőforráscsoportok meg nem változnak. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűz | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforrásokhoz | Hozzáfűzi a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforrást, amelyből hiányzik a címke. A szabályzat alkalmazása előtt létrehozott erőforrások címkéit nem módosítja, amíg maguk az erőforrások meg nem változnak. Az erőforráscsoportokra nincs hatással. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűz | 1.0.1 |
| Címke öröklése az erőforráscsoportból | Hozzáadja vagy lecseréli a megadott címkét és értéket a fölérendelt erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. | modify | 1.0.0 |
| Címke öröklése az erőforráscsoportból, ha hiányzik | Hozzáadja a megadott címkét és értéket a fölérendelt erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | modify | 1.0.0 |
| Címke öröklése az előfizetésből | Hozzáadja vagy lecseréli a megadott címkét és értéket az erőforrást tartalmazó előfizetésből, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. | modify | 1.0.0 |
| Címke öröklése az előfizetésből, ha hiányzik | Hozzáadja a megadott címkét és értéket az erőforrást tartalmazó előfizetésből, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | modify | 1.0.0 |
| Címke és címkeérték használatának megkövetelése erőforráscsoportokban | Kikényszeríti egy szükséges címke és címkeérték használatát az erőforráscsoportokban. | deny | 1.0.0 |
| Címke és címkeérték használatának megkövetelése erőforrásokban | Kényszeríti egy címke és a hozzá tartozó érték használatát. Az erőforráscsoportokra nincs hatással. | deny | 1.0.1 |
| Címke használatának megkövetelése erőforráscsoportokban | Megköveteli egy címke meglétét az erőforráscsoportokban. | deny | 1.0.0 |
| Címke használatának megkövetelése erőforrásokban | Megköveteli egy címke meglétét. Az erőforráscsoportokra nincs hatással. | deny | 1.0.1 |
General
| Name (Azure portál) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Engedélyezett helyek | Ezzel a szabályzattal korlátozható azon helyek köre, amelyeket a szervezet megadhat az erőforrások üzembe helyezésekor. A földrajzi megfelelőségi követelmények betartására szolgál. Kizárja az erőforráscsoportokat, Microsoft. AzureActiveDirectory/b2cDirectories, valamint a "globális" régiót használó erőforrások. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Erőforráscsoportok engedélyezett helyei | Ez a szabályzat lehetővé teszi, hogy korlátozza a szervezet által létrehozható erőforráscsoportokat. A földrajzi megfelelőségi követelmények betartására szolgál. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Engedélyezett erőforrástípusok | Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető erőforrástípusok megadását. Ez a szabályzat csak a címkéket és a helyet támogató erőforrástípusokat érinti. Az összes erőforrás korlátozásához duplikálja ezt a házirendet, és módosítsa a "mód" beállítást "All" (Összes) módra. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az erőforrás helyének naplózása az erőforráscsoport helyének felel meg | Annak naplózása, hogy az erőforrás helye egyezik-e az erőforráscsoport helyével | Naplózás, megtagadás, letiltva | 2.1.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Auditálás, kikapcsolva | 1.0.1 |
| Előfizetések konfigurálása előzetes verziójú funkciók beállításához | Ez a szabályzat kiértékeli a meglévő előfizetés előzetes verziójú funkcióit. Az előfizetések szervizelhetők, hogy regisztráljanak egy új előzetes verziójú szolgáltatásra. Az új előfizetések nem lesznek automatikusan regisztrálva. | Ellenőrzés ha nem létezik, Telepítés ha nem létezik, Letiltva | 1.0.1 |
| Az erőforrástípusok törlésének tiltása | Ez a szabályzat lehetővé teszi, hogy megadhatja azokat az erőforrástípusokat, amelyeket a szervezet védelmet nyújthat a véletlen törlés ellen, ha letiltja a törlési hívásokat a megtagadási művelet hatásával. | DenyAction, Letiltva | 1.0.1 |
| M365-erőforrások engedélyezése | M365-erőforrások létrehozásának letiltása. | Naplózás, megtagadás, letiltva | 1.0.0 |
| MCPP-erőforrások engedélyezése | MCPP-erőforrások létrehozásának letiltása. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Használati költségekkel kapcsolatos erőforrások kizárása | Ez a szabályzat lehetővé teszi a használati költségek erőforrásainak kimagosítását. A használati költségek közé tartoznak például a forgalmi díjas tárolás és a használat alapján számlázott Azure erőforrások. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Nem engedélyezett erőforrástípusok | Korlátozza, hogy mely erőforrástípusok helyezhetők üzembe a környezetben. Az erőforrástípusok korlátozása csökkentheti a környezet összetettségét és támadási felületét, miközben segít a költségek kezelésében is. A megfelelőségi eredmények csak a nem megfelelő erőforrások esetében jelennek meg. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A felhasználóknak többtényezős hitelesítéssel kell hitelesíteni a hitelesítést az erőforrások létrehozásához vagy frissítéséhez | Ez a szabályzatdefiníció letiltja az erőforrás-létrehozási és -frissítési műveleteket, ha a hívó nincs hitelesítve az MFA-on keresztül. További információ: https://aka.ms/mfaforazure. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A felhasználóknak többtényezős hitelesítéssel kell hitelesíteni az erőforrások törlését | Ez a szabályzatdefiníció letiltja az erőforrás-törlési műveleteket, ha a hívó nem hitelesítve van az MFA-on keresztül. További információ: https://aka.ms/mfaforazure. | AuditAction, DenyAction, Letiltva | 1.1.0 |
Következő lépések
- Tekintse meg a Azure Policy GitHub adattár beépített adatait.
- Tekintse át a Azure Policy definícióstruktúráját.
- A Szabályzatok hatásainak ismertetése.