Azure Policy beépített definíciói az Azure Virtual Networkhez
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure Virtual Networkhez. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure Virtual Network
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: A tárolóregisztrációs adatbázisnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan tárolóregisztrációs adatbázist, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Egyéni IPsec/IKE-szabályzatot kell alkalmazni az összes Azure-beli virtuális hálózati átjárókapcsolatra | Ez a szabályzat biztosítja, hogy minden Azure-beli virtuális hálózati átjáró-kapcsolat egyéni Ipsec-/Internet Key Exchange-szabályzatot (IKE) használjon. Támogatott algoritmusok és kulcserősség – https://aka.ms/AA62kb0 | Naplózás, letiltva | 1.0.0 |
| Minden folyamatnapló-erőforrásnak engedélyezett állapotban kell lennie | Naplóerőforrások naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a folyamatnapló állapota. A folyamatnaplók engedélyezésével naplózhatja az IP-forgalommal kapcsolatos információkat. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Az App Service-alkalmazásoknak virtuális hálózati szolgáltatásvégpontot kell használniuk | Virtuális hálózati szolgáltatásvégpontok használatával korlátozhatja az alkalmazáshoz való hozzáférést egy Azure-beli virtuális hálózat kiválasztott alhálózataiból. Ha többet szeretne megtudni az App Service-szolgáltatás végpontjairól, látogasson el https://aka.ms/appservice-vnet-service-endpointide. | AuditIfNotExists, Disabled | 2.0.1 |
| Folyamatnaplók konfigurációjának naplózása minden virtuális hálózathoz | A virtuális hálózat naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a virtuális hálózaton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Azure-alkalmazás Átjárót az Azure WAF-ben kell üzembe helyezni | Az Azure WAF-ben üzembe kell helyezni Azure-alkalmazás átjáróerőforrásokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure tűzfalszabályzatának engedélyeznie kell a TLS-ellenőrzést az alkalmazásszabályokon belül | A TLS-ellenőrzés engedélyezése minden alkalmazásszabály esetében ajánlott a HTTPS-ben a rosszindulatú tevékenységek észlelésére, riasztására és enyhítésére. Ha többet szeretne megtudni az Azure Firewall TLS-vizsgálatáról, látogasson el a https://aka.ms/fw-tlsinspect | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Firewall Premiumnak konfigurálnia kell egy érvényes köztes tanúsítványt a TLS-vizsgálat engedélyezéséhez | Konfiguráljon egy érvényes köztes tanúsítványt, és engedélyezze az Azure Firewall Premium TLS-vizsgálatát a HTTPS-ben végzett rosszindulatú tevékenységek észleléséhez, riasztásához és csökkentéséhez. Ha többet szeretne megtudni az Azure Firewall TLS-vizsgálatáról, látogasson el a https://aka.ms/fw-tlsinspect | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure VPN-átjárók nem használhatják az "alapszintű" termékváltozatot | Ez a szabályzat biztosítja, hogy a VPN-átjárók ne használják az "alapszintű" termékváltozatot. | Naplózás, letiltva | 1.0.0 |
| Az Azure Web Application Firewallnak engedélyezve kell lennie az Azure-alkalmazás-átjárón a kérelem törzsvizsgálatának | Győződjön meg arról, hogy a Azure-alkalmazás átjárókhoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelem törzsvizsgálata. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Web Application Firewallnak engedélyeznie kell az Azure Front Dooron a kérelem törzsvizsgálatát | Győződjön meg arról, hogy az Azure Front Doorshoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelemtörzs ellenőrzésében. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A botvédelmet engedélyezni kell Azure-alkalmazás átjáró WAF-jén | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure-alkalmazás Átjáró webalkalmazási tűzfal (WAF) házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Bot Protectiont engedélyezni kell az Azure Front Door WAF-hez | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure Front Door Web Application Firewall-házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülési listájának üresnek kell lennie a Premium tűzfalszabályzatban | A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülő listája lehetővé teszi, hogy ne szűrje a forgalmat a megkerülő listában megadott IP-címekre, tartományokra és alhálózatokra. Az IDPS engedélyezését azonban minden forgalom esetében újra kell írni az ismert fenyegetések jobb azonosítása érdekében. Ha többet szeretne megtudni az Intrusion Detection and Prevention System (IDPS) aláírásokról az Azure Firewall Premium használatával, látogasson el https://aka.ms/fw-idps-signature | Naplózás, megtagadás, letiltva | 1.0.0 |
| Diagnosztikai beállítások konfigurálása azure-beli hálózati biztonsági csoportokhoz a Log Analytics-munkaterületre | Diagnosztikai beállítások üzembe helyezése az Azure Hálózati biztonsági csoportokban az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez. | DeployIfNotExists, Disabled | 1.0.0 |
| Hálózati biztonsági csoportok konfigurálása a forgalomelemzés engedélyezéséhez | A forgalomelemzés egy adott régióban üzemeltetett összes hálózati biztonsági csoport számára engedélyezhető a szabályzat létrehozása során megadott beállításokkal. Ha már engedélyezve van a Traffic Analytics, akkor a szabályzat nem írja felül a beállításait. A folyamatnaplók azokhoz a hálózati biztonsági csoportokhoz is engedélyezve vannak, amelyek nem rendelkeznek vele. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.2.0 |
| Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és folyamatnapló-adatmegőrzési szabályzat használatára a forgalomelemzéshez | Ha már engedélyezve van a forgalomelemzés, akkor a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.2.0 |
| Virtuális hálózat konfigurálása a Flow Log és a Traffic Analytics engedélyezéséhez | A forgalomelemzés és a flow-naplók egy adott régióban üzemeltetett összes virtuális hálózat esetében engedélyezhetők a szabályzat létrehozása során megadott beállításokkal. Ez a szabályzat nem írja felül azoknak a virtuális hálózatoknak az aktuális beállítását, amelyeken már engedélyezve van ez a funkció. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.1.1 |
| Virtuális hálózatok konfigurálása a munkaterület, a tárfiók és a megőrzési időköz kényszerítéséhez a Flow-naplókhoz és a Traffic Analyticshez | Ha egy virtuális hálózatban már engedélyezve van a forgalomelemzés, akkor ez a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.1.2 |
| A Cosmos DB-nek virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Cosmos DB-t, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| Folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoporttal | Konfigurálja a folyamatnaplót adott hálózati biztonsági csoporthoz. Lehetővé teszi a hálózati biztonsági csoporton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | deployIfNotExists | 1.1.0 |
| Folyamatnapló-erőforrás üzembe helyezése cél virtuális hálózattal | Konfigurálja a folyamatnaplót adott virtuális hálózathoz. Lehetővé teszi a virtuális hálózaton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | DeployIfNotExists, Disabled | 1.1.1 |
| Network Watcher üzembe helyezése virtuális hálózatok létrehozásakor | Ez a szabályzat létrehoz egy hálózatfigyelő erőforrást a virtuális hálózatokkal rendelkező régiókban. Meg kell győződnie arról, hogy létezik egy networkWatcherRG nevű erőforráscsoport, amely a Network Watcher-példányok üzembe helyezéséhez lesz használva. | DeployIfNotExists | 1.0.0 |
| Sebességkorlát-szabály engedélyezése az Azure Front Door WAF DDoS-támadásai elleni védelemhez | Az Azure Web Application Firewall (WAF) sebességkorlátozási szabálya az Azure Front Door esetében szabályozza az adott ügyfél IP-címéről az alkalmazásra irányuló kérések számát a sebességkorlát időtartama alatt. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Event Hubnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan eseményközpontot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, Disabled | 1.0.0 |
| A tűzfalszabályzat prémium verziójának engedélyeznie kell az összes IDPS-aláírási szabályt az összes bejövő és kimenő forgalom figyeléséhez | Az összes behatolásészlelési és megelőzési rendszer (IDPS) aláírási szabályának engedélyezését a rendszer újrakonfigurálja a forgalom ismert fenyegetéseinek jobb azonosítása érdekében. Ha többet szeretne megtudni az Intrusion Detection and Prevention System (IDPS) aláírásokról az Azure Firewall Premium használatával, látogasson el https://aka.ms/fw-idps-signature | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Premium tűzfalszabályzatnak engedélyeznie kell a behatolásészlelési és -megelőzési rendszert (IDPS) | A behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózat rosszindulatú tevékenységek figyelését, a tevékenység naplóadatainak naplózását, jelentéskészítését és letiltásának megkísérlését. Ha többet szeretne megtudni a behatolásészlelési és -megelőzési rendszerről (IDPS) az Azure Firewall Premium használatával, látogasson el a https://aka.ms/fw-idps | Naplózás, megtagadás, letiltva | 1.0.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| Az átjáróalhálózatokat nem szabad hálózati biztonsági csoporttal konfigurálni | Ez a szabályzat tagadja, hogy egy átjáróalhálózat hálózati biztonsági csoporttal van-e konfigurálva. Ha hálózati biztonsági csoportot rendel egy átjáróalhálózathoz, az az átjáró működését leállítja. | elutasítás | 1.0.0 |
| A Key Vaultnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Key Vaultot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| WAF migrálása WAF-konfigurációból WAF-szabályzatba az Application Gatewayen | Ha WAF-szabályzat helyett WAF-konfigurációval rendelkezik, akkor érdemes lehet az új WAF-szabályzatra váltania. A tűzfalszabályzat a jövőben támogatja a WAF-házirend beállításait, a felügyelt szabálykészleteket, a kizárásokat és a letiltott szabálycsoportokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A hálózati adaptereknek le kell tiltania az IP-továbbítást | Ez a szabályzat nem engedélyezi az IP-továbbítást engedélyező hálózati adaptereket. Az IP-továbbítás beállítása letiltja az Azure-nak a hálózati adapter forrásának és céljának ellenőrzését. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | elutasítás | 1.0.0 |
| A hálózati adaptereknek nem szabad nyilvános IP-címekkel rendelkezniük | Ez a szabályzat tagadja a nyilvános IP-címmel konfigurált hálózati adaptereket. A nyilvános IP-címek lehetővé teszik az internetes erőforrások bejövő kommunikációját az Azure-erőforrásokkal, valamint az Azure-erőforrások kimenő internetes kommunikációját. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | elutasítás | 1.0.0 |
| A Network Watcher folyamatnaplóinak engedélyezniük kell a forgalomelemzést | A Traffic Analytics elemzi a folyamatnaplókat, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. Segítségével megjelenítheti a hálózati tevékenységeket az Azure-előfizetésekben, azonosíthatja a gyakori pontokat, azonosíthatja a biztonsági fenyegetéseket, megismerheti a forgalmi mintákat, rögzítheti a hálózati helytelen konfigurációkat stb. | Naplózás, letiltva | 1.0.1 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Az SQL Servernek virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan SQL Servert, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, Disabled | 1.0.0 |
| A tárfiókok virtuális hálózati szolgáltatásvégpontot használnak | Ez a szabályzat naplóz minden olyan tárfiókot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| Az előfizetésnek úgy kell konfigurálnia az Azure Firewall Premiumot, hogy további védelmi réteget biztosítson | Az Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely megfelel a rendkívül érzékeny és szabályozott környezetek igényeinek. Telepítse az Azure Firewall Premiumot az előfizetésében, és győződjön meg arról, hogy az összes szolgáltatásforgalmat az Azure Firewall Premium védi. Ha többet szeretne megtudni az Azure Firewall Premiumról, látogasson el a https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuális gépeket jóváhagyott virtuális hálózathoz kell csatlakoztatni | Ez a szabályzat naplóz minden olyan virtuális gépet, amely nem jóváhagyott virtuális hálózathoz csatlakozik. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális hálózatokat az Azure DDoS Protectionnek kell védenie | Az Azure DDoS Protection használatával megvédheti virtuális hálózatait a mennyiségi és protokollos támadásoktól. További információ: https://aka.ms/ddosprotectiondocs. | Módosítás, naplózás, letiltva | 1.0.1 |
| A virtuális hálózatoknak a megadott virtuális hálózati átjárót kell használniuk | Ez a szabályzat minden virtuális hálózatot naplóz, ha az alapértelmezett útvonal nem a megadott virtuális hálózati átjáróra mutat. | AuditIfNotExists, Disabled | 1.0.0 |
| A VPN-átjáróknak csak Az Azure Active Directory (Azure AD) hitelesítését kell használniuk a pont–hely felhasználók számára | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy a VPN-átjárók csak Azure Active Directory-identitásokat használnak a hitelesítéshez. További információ az Azure AD-hitelesítésről: https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) engedélyeznie kell az Application Gateway összes tűzfalszabályát | Az összes webalkalmazási tűzfal (WAF) szabály engedélyezése erősíti az alkalmazás biztonságát, és védi a webalkalmazásokat a gyakori biztonsági résekkel szemben. Ha többet szeretne megtudni a webalkalmazási tűzfalról (WAF) az Application Gateway használatával, látogasson el a https://aka.ms/waf-ag | Naplózás, megtagadás, letiltva | 1.0.1 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
Címkék
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Címke hozzáadása erőforráscsoportokhoz | Hozzáadja a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforráscsoportot, amelyből hiányzik a címke. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | módosítás | 1.0.0 |
| Címke hozzáadása erőforrásokhoz | Hozzáadja a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforrást, amelyből hiányzik a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. Nem módosítja az erőforráscsoportokon lévő címkéket. | módosítás | 1.0.0 |
| Címke hozzáadása előfizetésekhez | A megadott címkét és értéket egy szervizelési feladaton keresztül adja hozzá az előfizetésekhez. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. A szabályzatok szervizelésére vonatkozó további információkért lásd https://aka.ms/azurepolicyremediation . | módosítás | 1.0.0 |
| Erőforráscsoport-címke hozzáadása vagy cseréje | Hozzáadja vagy lecseréli a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy erőforráscsoportot. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. | módosítás | 1.0.0 |
| Erőforrásokra vonatkozó címke hozzáadása vagy cseréje | Hozzáadja vagy lecseréli a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. Nem módosítja az erőforráscsoportokon lévő címkéket. | módosítás | 1.0.0 |
| Címke hozzáadása vagy cseréje előfizetéseken | Szervizelési feladaton keresztül hozzáadja vagy lecseréli a megadott címkét és értéket az előfizetéseken. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. A szabályzatok szervizelésére vonatkozó további információkért lásd https://aka.ms/azurepolicyremediation . | módosítás | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforráscsoportból | Hozzáfűzi a megadott címkét és értéket az erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A szabályzat alkalmazása előtt létrehozott erőforrások címkéit nem módosítja, amíg maguk az erőforrások meg nem változnak. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűzés | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforráscsoportokhoz | Hozzáfűzi a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforráscsoportot, amelyből hiányzik a címke. A szabályzat alkalmazása előtt létrehozott erőforráscsoportok címkéit nem módosítja, amíg maguk az erőforráscsoportok meg nem változnak. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűzés | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforrásokhoz | Hozzáfűzi a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforrást, amelyből hiányzik a címke. A szabályzat alkalmazása előtt létrehozott erőforrások címkéit nem módosítja, amíg maguk az erőforrások meg nem változnak. Az erőforráscsoportokra nincs hatással. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűzés | 1.0.1 |
| Címke öröklése az erőforráscsoportból | Hozzáadja vagy lecseréli a megadott címkét és értéket a fölérendelt erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. | módosítás | 1.0.0 |
| Címke öröklése az erőforráscsoportból, ha hiányzik | Hozzáadja a megadott címkét és értéket a fölérendelt erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | módosítás | 1.0.0 |
| Címke öröklése az előfizetésből | Hozzáadja vagy lecseréli a megadott címkét és értéket az erőforrást tartalmazó előfizetésből, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. | módosítás | 1.0.0 |
| Címke öröklése az előfizetésből, ha hiányzik | Hozzáadja a megadott címkét és értéket az erőforrást tartalmazó előfizetésből, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | módosítás | 1.0.0 |
| Címke és címkeérték használatának megkövetelése erőforráscsoportokban | Kikényszeríti egy szükséges címke és címkeérték használatát az erőforráscsoportokban. | elutasítás | 1.0.0 |
| Címke és címkeérték használatának megkövetelése erőforrásokban | Kényszeríti egy címke és a hozzá tartozó érték használatát. Az erőforráscsoportokra nincs hatással. | elutasítás | 1.0.1 |
| Címke használatának megkövetelése erőforráscsoportokban | Megköveteli egy címke meglétét az erőforráscsoportokban. | elutasítás | 1.0.0 |
| Címke használatának megkövetelése erőforrásokban | Megköveteli egy címke meglétét. Az erőforráscsoportokra nincs hatással. | elutasítás | 1.0.1 |
| Az erőforrásoknak nem kell egy adott címkével rendelkezniük. | Tagadja az adott címkét tartalmazó erőforrás létrehozását. Az erőforráscsoportokra nincs hatással. | Naplózás, megtagadás, letiltva | 2.0.0 |
Általános
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezett helyek | Ezzel a szabályzattal korlátozható azon helyek köre, amelyeket a szervezet megadhat az erőforrások üzembe helyezésekor. A földrajzi megfelelőségi követelmények betartására szolgál. Kizárja az erőforráscsoportokat, a Microsoft.AzureActiveDirectory/b2cDirectories és a "globális" régiót használó erőforrásokat. | elutasítás | 1.0.0 |
| Erőforráscsoportok engedélyezett helyei | Ez a szabályzat lehetővé teszi, hogy korlátozza a szervezet által létrehozható erőforráscsoportokat. A földrajzi megfelelőségi követelmények betartására szolgál. | elutasítás | 1.0.0 |
| Engedélyezett erőforrástípusok | Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető erőforrástípusok megadását. Ez a szabályzat csak a címkéket és a helyet támogató erőforrástípusokat érinti. Az összes erőforrás korlátozásához duplikálja ezt a házirendet, és módosítsa a "mód" beállítást "All" (Összes) módra. | elutasítás | 1.0.0 |
| Az erőforrás helyének naplózása az erőforráscsoport helyének felel meg | Annak naplózása, hogy az erőforrás helye egyezik-e az erőforráscsoport helyével | naplózás | 2.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Előfizetések konfigurálása előzetes verziójú funkciók beállításához | Ez a szabályzat kiértékeli a meglévő előfizetés előzetes verziójú funkcióit. Az előfizetések szervizelhetők, hogy regisztráljanak egy új előzetes verziójú szolgáltatásra. Az új előfizetések nem lesznek automatikusan regisztrálva. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Az erőforrástípusok törlésének tiltása | Ez a szabályzat lehetővé teszi, hogy megadhatja azokat az erőforrástípusokat, amelyeket a szervezet védelmet nyújthat a véletlen törlés ellen, ha letiltja a törlési hívásokat a megtagadási művelet hatásával. | DenyAction, Letiltva | 1.0.1 |
| M365-erőforrások engedélyezése | M365-erőforrások létrehozásának letiltása. | Naplózás, megtagadás, letiltva | 1.0.0 |
| MCPP-erőforrások engedélyezése | MCPP-erőforrások létrehozásának letiltása. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Használati költségekkel kapcsolatos erőforrások kizárása | Ez a szabályzat lehetővé teszi a használati költségek erőforrásainak kimagosítását. A használati költségek közé tartoznak például a forgalmi díjas tárterület és a használat alapján számlázott Azure-erőforrások. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Nem engedélyezett erőforrástípusok | Korlátozza, hogy mely erőforrástípusok helyezhetők üzembe a környezetben. Az erőforrástípusok korlátozása csökkentheti a környezet összetettségét és támadási felületét, miközben segít a költségek kezelésében is. A megfelelőségi eredmények csak a nem megfelelő erőforrások esetében jelennek meg. | Naplózás, megtagadás, letiltva | 2.0.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.