Definizioni predefinite di Criteri di Azure per Automazione di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Automazione di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Azure Automation
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
L'account di Automazione deve avere un'identità gestita | Usare identità gestite come metodo consigliato per l'autenticazione con le risorse di Azure dai runbook. L'identità gestita per l'autenticazione è più sicura ed elimina il sovraccarico di gestione associato all'uso dell'account RunAs nel codice del runbook. | Audit, Disabled | 1.0.0 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
Gli account di Automazione devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Deny, Disabled | 1.0.0 |
L'account Automazione di Azure deve avere un metodo di autenticazione locale disabilitato | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che gli account di Automazione di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
Gli account di Automazione di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia a riposo degli account di automazione di Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
Configurare l'account Automazione di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account Automazione di Azure richiedano esclusivamente identità Azure Active Directory per l'autenticazione. | Modifica, disattivato | 1.0.0 |
Configurare gli account di Automazione di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'account di Automazione di Azure in modo che non sia accessibile tramite La rete Internet pubblica. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modifica, disattivato | 1.0.0 |
Configurare connessioni endpoint privato negli account di Automazione di Azure | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account di Automazione di Azure senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Automazione di Azure sono disponibili all'indirizzo https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Le connessioni endpoint privato negli account di Automazione devono essere abilitate | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account di Automazione senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Automazione di Azure sono disponibili all'indirizzo https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.