Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Virtual Network. Untuk Azure Policy bawaan tambahan untuk layanan lain, lihat definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan ditautkan ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Version untuk melihat sumber pada repositori Azure Policy GitHub.
Azure Virtual Network
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke subnet dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Sudah Dinonaktifkan | 3.0.0-preview | |
| [Pratinjau]: Container Registry harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Container Registry yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0-preview |
| Kebijakan IPsec/IKE kustom harus diterapkan ke semua koneksi gateway jaringan virtual Azure | Kebijakan ini memastikan bahwa semua koneksi gateway jaringan virtual Azure menggunakan kebijakan Internet Protocol Security (Ipsec)/Internet Key Exchange(IKE) kustom. Algoritme yang didukung dan kekuatan kunci - https://aka.ms/AA62kb0 | Audit, Dinonaktifkan | 1.0.0 |
| Semua sumber daya log alur harus dalam status diaktifkan | Audit sumber daya log alur untuk memverifikasi jika status log alur diaktifkan. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Aplikasi App Service harus menggunakan titik akhir layanan jaringan virtual | Gunakan titik akhir layanan jaringan virtual untuk membatasi akses ke aplikasi Anda dari subnet yang dipilih dari jaringan virtual Azure. Untuk mempelajari lebih lanjut tentang titik akhir layanan App Service, kunjungi https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Sudah Dinonaktifkan | 2.0.1 |
| Konfigurasi log alur audit untuk setiap jaringan virtual | Audit untuk jaringan virtual untuk memverifikasi apakah log alur dikonfigurasi. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Azure Application Gateway untuk Kontainer harus memiliki kebijakan keamanan | Memastikan Application Gateway untuk Kontainer memiliki setidaknya satu kebijakan keamanan yang dikonfigurasi | AuditIfNotExists, Sudah Dinonaktifkan | 1.0.0 |
| Azure Application Gateway harus disebarkan dengan Azure WAF | Mengharuskan sumber daya Azure Application Gateway disebarkan dengan waf Azure. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Aturan Klasik Azure Firewall harus dimigrasikan ke Kebijakan Firewall | Migrasi dari Azure Firewall Aturan Klasik ke Kebijakan Firewall untuk menggunakan alat manajemen pusat seperti Azure Firewall Manager. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Firewall Policy Analytics harus Diaktifkan | Mengaktifkan Analitik Kebijakan memberikan visibilitas yang ditingkatkan ke dalam lalu lintas yang mengalir melalui Azure Firewall, memungkinkan pengoptimalan konfigurasi firewall Anda tanpa memengaruhi performa aplikasi Anda | Audit, Dinonaktifkan | 1.0.0 |
| Kebijakan Azure Firewall harus mengaktifkan Inteligensi Ancaman | Inteligensi ancaman-pemfilteran berbasis dapat diaktifkan untuk firewall Anda guna memberitahukan dan menolak lalu lintas dari/ke domain dan alamat IP berbahaya yang diketahui. Alamat IP dan domain bersumber dari umpan Inteligensi Ancaman Microsoft. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kebijakan Azure Firewall harus mengaktifkan Proksi DNS | Mengaktifkan Proksi DNS akan membuat Azure Firewall terkait dengan kebijakan ini untuk mendengarkan port 53 dan meneruskan permintaan DNS ke server DNS yang ditentukan | Audit, Dinonaktifkan | 1.0.0 |
| Azure Firewall harus disebarkan untuk menjangkau beberapa Availability Zones | Untuk peningkatan ketersediaan, sebaiknya sebarkan Azure Firewall Anda untuk menjangkau beberapa Availability Zones. Ini memastikan bahwa Azure Firewall Anda akan tetap tersedia jika terjadi kegagalan zona. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Firewall Standard - Aturan Klasik harus mengaktifkan Inteligensi Ancaman | Inteligensi ancaman-pemfilteran berbasis dapat diaktifkan untuk firewall Anda guna memberitahukan dan menolak lalu lintas dari/ke domain dan alamat IP berbahaya yang diketahui. Alamat IP dan domain bersumber dari umpan Inteligensi Ancaman Microsoft. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Firewall Standard harus ditingkatkan ke Premium untuk perlindungan generasi berikutnya | Jika Anda mencari perlindungan generasi berikutnya seperti inspeksi IDPS dan TLS, Anda harus mempertimbangkan untuk meningkatkan Azure Firewall Anda ke sku Premium. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| gateway VPN Azure tidak boleh menggunakan SKU 'dasar' | Kebijakan ini memastikan bahwa VPN gateway tidak menggunakan SKU 'dasar'. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall pada Azure Application Gateway harus mengaktifkan pemeriksaan isi permintaan | Pastikan bahwa Web Application Firewall yang terkait dengan gateway Azure Application mengaktifkan pemeriksaan isi Permintaan. Ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall pada Azure Front Door harus mengaktifkan pemeriksaan isi permintaan | Pastikan bahwa Web Application Firewall yang terkait dengan Azure Front Door mengaktifkan pemeriksaan isi permintaan. Ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Sebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat terhadap aplikasi web Anda dari eksploitasi dan kerentanan umum seperti injeksi SQL, Skrip Lintas Situs, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Bot Protection harus diaktifkan untuk Azure Application Gateway WAF | Kebijakan ini memastikan bahwa perlindungan bot diaktifkan dalam semua kebijakan Azure Application Gateway Web Application Firewall (WAF) | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Bot Protection harus diaktifkan untuk Azure Front Door WAF | Kebijakan ini memastikan bahwa perlindungan bot diaktifkan dalam semua kebijakan Azure Front Door Web Application Firewall (WAF) | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Konfigurasi pengaturan diagnostik untuk Grup Keamanan Jaringan Azure Log Analytics ruang kerja | Sebarkan pengaturan diagnostik untuk Azure Grup Keamanan Jaringan untuk mengalirkan log sumber daya ke ruang kerja Log Analytics. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan grup keamanan jaringan untuk mengaktifkan analitik lalu lintas | Analitik lalu lintas dapat diaktifkan untuk semua grup keamanan jaringan yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Jika sudah mengaktifkan Analitik lalu lintas, kebijakan tidak akan menimpa pengaturannya. Log Alur juga diaktifkan untuk Grup keamanan jaringan yang tidak memilikinya. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi grup keamanan jaringan untuk menggunakan ruang kerja, akun penyimpanan, dan kebijakan penyimpanan flowlog tertentu untuk analitik lalu lintas | Jika sudah mengaktifkan analitik lalu lintas, kebijakan akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi jaringan virtual untuk mengaktifkan Log Alur dan Analitik Lalu Lintas | Analitik lalu lintas dan Log alur dapat diaktifkan untuk semua jaringan virtual yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Kebijakan ini tidak menimpa pengaturan saat ini untuk jaringan virtual yang sudah mengaktifkan fitur ini. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.1.1 |
| Mengonfigurasi jaringan virtual untuk menerapkan ruang kerja, akun penyimpanan, dan interval retensi untuk log Alur dan Analitik Lalu Lintas | Jika jaringan virtual sudah mengaktifkan analitik lalu lintas, kebijakan ini akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.1.2 |
| Cosmos DB harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Cosmos DB yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Buat Ruang Kerja Log Analytics pusat untuk Analitik Lalu Lintas Flowlog VNet di Grup Sumber Daya yang ditentukan | Buat Ruang Kerja Log Analytics pusat di Cakupan yang ditetapkan dan di bawah Grup Sumber Daya nwtarg-<subscriptionID> secara default untuk flowlog VNet. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Membuat NetworkWatcher Regional di NetworkWatcherRG untuk VNet Flowlogs | Kebijakan ini membuat Network Watcher di wilayah yang ditentukan untuk mengaktifkan Flowlog untuk Virtual Network. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Membuat Akun Penyimpanan regional untuk VNet Flowlogs di resourceGroupName RG | Membuat Akun Penyimpanan regional di Cakupan yang ditetapkan dan di bawah grup sumber daya nwtarg-subscriptionID<> secara default untuk flowlog VNet. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan sumber daya log alur dengan grup keamanan jaringan target | Konfigurasi log alur untuk grup keamanan jaringan tertentu. Hal ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. | deployIfNotExists | 1.1.0 |
| Menyebarkan sumber daya Log Alur dengan jaringan virtual target | Mengonfigurasi log alur untuk jaringan virtual tertentu. Ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. | DeployIfNotExists, Nonaktif | 1.1.1 |
| Menyebarkan pengamat jaringan saat jaringan virtual dibuat | Kebijakan ini membuat resource network watcher di wilayah dengan jaringan virtual. Anda perlu memastikan keberadaan grup sumber daya bernama networkWatcherRG, yang akan digunakan untuk menyebarkan instans network watcher. | DeployIfNotExists | 1.0.0 |
| Sebarkan Log Alur VNet dengan Analitik Lalu Lintas untuk VNet dengan Penyimpanan regional dan Log Analytics terpusat. Sebelum remediasi pastikan bahwa resourceGroupName Resource Group, Storage Account, Log Analytics Workspace, Network Watcher semuanya sudah disebarkan. | DeployIfNotExists, Nonaktif | 1.0.0 | |
| aturan Enable Rate Limit untuk melindungi dari serangan DDoS pada Azure Front Door WAF | Aturan batas tarif Azure Web Application Firewall (WAF) untuk Azure Front Door mengontrol jumlah permintaan yang diizinkan dari alamat IP klien tertentu ke aplikasi selama durasi batas tarif. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Event Hub harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Pusat Peristiwa apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Sudah Dinonaktifkan | 1.0.0 |
| Log alur harus dikonfigurasi untuk setiap grup keamanan jaringan | Audit untuk grup keamanan jaringan untuk memverifikasi apakah log aliran dikonfigurasi. Mengaktifkan log aliran memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.1.0 |
| Subnet gateway tidak boleh dikonfigurasi dengan grup keamanan jaringan | Kebijakan ini menolak jika subnet gateway dikonfigurasi dengan grup keamanan jaringan. Menetapkan grup keamanan jaringan ke subnet gateway akan menyebabkan gateway berhenti berfungsi. | deny | 1.0.0 |
| Key Vault harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Key Vault apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Memigrasikan WAF dari Konfigurasi WAF ke Kebijakan WAF di Application Gateway | Jika Anda memiliki Konfigurasi WAF alih-alih Kebijakan WAF, maka Anda mungkin ingin pindah ke Kebijakan WAF baru. Selanjutnya, kebijakan firewall akan mendukung pengaturan kebijakan WAF, aturan terkelola, pengecualian, dan grup aturan yang dinonaktifkan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Antarmuka jaringan harus menonaktifkan penerusan IP | Kebijakan ini menolak antarmuka jaringan yang mengaktifkan penerusan IP. Pengaturan penerusan IP menonaktifkan pemeriksaan sumber dan tujuan Azure untuk antarmuka jaringan. Hal ini harus ditinjau oleh tim keamanan jaringan. | deny | 1.0.0 |
| Antarmuka jaringan tidak boleh memiliki IP publik | Kebijakan ini menolak antarmuka jaringan yang dikonfigurasi dengan IP publik apa pun. Alamat IP publik memungkinkan sumber daya internet untuk berkomunikasi masuk ke sumber daya Azure, dan Azure sumber daya untuk berkomunikasi keluar ke internet. Hal ini harus ditinjau oleh tim keamanan jaringan. | deny | 1.0.0 |
| log alur Network Watcher harus mengaktifkan analitik lalu lintas | Analitik lalu lintas menganalisis log alur untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Ini dapat digunakan untuk memvisualisasikan aktivitas jaringan di seluruh langganan Azure Anda dan mengidentifikasi hot spot, mengidentifikasi ancaman keamanan, memahami pola arus lalu lintas, menentukan kesalahan konfigurasi jaringan, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Sudah Dinonaktifkan | 3.0.0 |
| IP Publik dan awalan IP Publik harus memiliki tag FirstPartyUsage | Pastikan semua alamat IP Publik dan Awalan IP Publik memiliki tag FirstPartyUsage. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| SQL Server harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit SQL Server apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Sudah Dinonaktifkan | 1.0.0 |
| Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Akun Penyimpanan yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Subnet harus bersifat privat | Pastikan subnet Anda aman secara default dengan mencegah akses keluar default. Untuk informasi selengkapnya, kunjungi https://aka.ms/defaultoutboundaccessretirement | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Virtual Hubs harus dilindungi dengan Azure Firewall | Sebarkan Azure Firewall ke Hub Virtual Anda untuk melindungi dan mengontrol lalu lintas keluar dan masuk internet secara terperinci. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Komputer virtual harus terhubung ke jaringan virtual yang disetujui | Kebijakan ini mengaudit setiap komputer virtual yang terhubung ke jaringan virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| jaringan Virtual harus dilindungi oleh Azure DDoS Protection | Lindungi jaringan virtual Anda dari serangan volumetrik dan protokol dengan Azure DDoS Protection. Untuk informasi selengkapnya, kunjungi https://aka.ms/ddosprotectiondocs. | Ubah, Audit, Dinonaktifkan | 1.0.1 |
| Jaringan virtual harus menggunakan gateway jaringan virtual yang ditentukan | Kebijakan ini mengaudit jaringan virtual apa pun jika rute default tidak mengarah ke gateway jaringan virtual yang ditentukan. | AuditIfNotExists, Sudah Dinonaktifkan | 1.0.0 |
| gateway VPN hanya boleh menggunakan autentikasi Azure Active Directory (Azure AD) untuk pengguna titik-ke-situs | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa VPN Gateway hanya menggunakan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya tentang autentikasi Azure AD di https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway | Sebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat terhadap aplikasi web Anda dari eksploitasi dan kerentanan umum seperti injeksi SQL, Skrip Lintas Situs, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Application Gateway | Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif pada semua kebijakan Web Application Firewall untuk Application Gateway. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Azure Front Door Service | Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif pada semua kebijakan Web Application Firewall untuk Azure Front Door Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Tags
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Tambahkan tag ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | modify | 1.0.0 |
| Tambahkan tag ke sumber daya | Menambahkan tag dan nilai yang ditentukan saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Tidak mengubah tag pada grup sumber daya. | modify | 1.0.0 |
| Tambahkan tag ke langganan | Menambahkan tag dan nilai yang ditentukan ke langganan melalui tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | modify | 1.0.0 |
| Menambahkan atau mengganti tag pada grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat grup sumber daya dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. | modify | 1.0.0 |
| Menambahkan atau mengganti tag pada sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Tidak mengubah tag pada grup sumber daya. | modify | 1.0.0 |
| Menambahkan atau mengganti tag pada langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan pada langganan melalui tugas perbaikan. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | modify | 1.0.0 |
| Menambahkan tag dan nilainya dari grup sumber daya | Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya saat sumber daya apa pun yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | tambah | 1.0.0 |
| Menambahkan tag dan nilainya ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag grup sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga grup sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | tambah | 1.0.0 |
| Menambahkan tag dan nilainya ke sumber daya | Menambahkan tag dan nilai yang ditentukan saat sumber daya apa pun yang hilang dari tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Tidak berlaku untuk grup sumber daya. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | tambah | 1.0.1 |
| Mewarisi tag dari grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan dari grup sumber daya induk saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. | modify | 1.0.0 |
| Mewarisi tag dari grup sumber daya jika tidak ada | Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya induk saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | modify | 1.0.0 |
| Mewarisi tag dari langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan dari langganan yang berisi saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. | modify | 1.0.0 |
| Mewarisi tag dari langganan jika tidak ada | Menambahkan tag yang ditentukan dengan nilainya dari langganan yang memuatnya saat sumber daya yang hilang dari tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | modify | 1.0.0 |
| Memerlukan tag dan nilainya pada grup sumber daya | Menerapkan tag yang diperlukan dan nilainya pada grup sumber daya. | deny | 1.0.0 |
| Memerlukan tag dan nilainya pada sumber daya | Menerapkan tag yang diperlukan dan nilainya. Tidak berlaku untuk grup sumber daya. | deny | 1.0.1 |
| Memerlukan tag pada grup sumber daya | Menerapkan keberadaan tag pada grup sumber daya. | deny | 1.0.0 |
| Memerlukan tag pada sumber daya | Menerapkan keberadaan tag. Tidak berlaku untuk grup sumber daya. | deny | 1.0.1 |
General
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Lokasi yang diizinkan | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menggunakan sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. Mengecualikan grup sumber daya, Microsoft. AzureActiveDirectory/b2cDirectories, dan sumber daya yang menggunakan wilayah 'global'. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Lokasi yang diizinkan untuk grup sumber daya | Kebijakan ini memungkinkan Anda membatasi lokasi tempat organisasi Anda dapat membuat sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Jenis sumber daya yang diizinkan | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat disebarkan oleh organisasi Anda. Hanya jenis sumber daya yang mendukung 'tag' dan 'lokasi' yang akan terpengaruh oleh kebijakan ini. Untuk membatasi semua sumber daya, silakan salin kebijakan ini dan ubah 'mode' menjadi 'Semua'. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Lokasi sumber daya audit cocok dengan lokasi grup sumber daya | Audit bahwa lokasi sumber daya cocok dengan lokasi grup sumber dayanya | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi langganan untuk menyiapkan fitur pratinjau | Kebijakan ini mengevaluasi fitur pratinjau langganan yang ada. Langganan dapat diperbaiki untuk mendaftar ke fitur pratinjau baru. Langganan baru tidak akan didaftarkan secara otomatis. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.1 |
| Jangan izinkan penghapusan jenis sumber daya | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat dilindungi organisasi Anda dari penghapusan yang tidak disengaja dengan memblokir panggilan penghapusan menggunakan efek tindakan tolak. | DenyAction, Dinonaktifkan | 1.0.1 |
| Jangan Izinkan sumber daya M365 | Memblokir pembuatan sumber daya M365. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jangan Izinkan sumber daya MCPP | Memblokir pembuatan sumber daya MCPP. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengecualikan Sumber Daya Biaya Penggunaan | Kebijakan ini memungkinkan Anda menjalankan Sumber Daya Biaya Penggunaan. Biaya penggunaan mencakup hal-hal seperti penyimpanan terukur dan sumber daya Azure yang ditagih berdasarkan penggunaan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jenis sumber daya yang tidak diizinkan | Batasi jenis sumber daya mana yang dapat disebarkan di lingkungan Anda. Membatasi jenis sumber daya dapat mengurangi kompleksitas dan permukaan serangan lingkungan Anda sekaligus membantu mengelola biaya. Hasil kepatuhan hanya ditampilkan untuk sumber daya yang tidak patuh. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Pengguna harus mengautentikasi dengan autentikasi multifaktor untuk membuat atau memperbarui sumber daya | Definisi kebijakan ini memblokir operasi pembuatan dan pembaruan sumber daya saat pemanggil tidak diautentikasi melalui MFA. Untuk informasi selengkapnya, kunjungi https://aka.ms/mfaforazure. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Pengguna harus mengautentikasi dengan autentikasi multifaktor untuk menghapus sumber daya | Definisi kebijakan ini memblokir operasi penghapusan sumber daya ketika pemanggil tidak diautentikasi melalui MFA. Untuk informasi selengkapnya, kunjungi https://aka.ms/mfaforazure. | AuditAction, DenyAction, Dinonaktifkan | 1.1.0 |
Langkah selanjutnya
- Lihat bawaan pada repositori Azure Policy GitHub.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.