Definizioni di criteri predefiniti in Criteri di Azure per i Servizi di Azure AI
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Servizi di Azure AI. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Servizi di Azure AI
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le risorse di Servizi di Azure AI devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Ciò non viene valutato per impostazione predefinita e deve essere applicato solo quando richiesto dai requisiti dei criteri restrittivi o di conformità. Se non è abilitato, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per l'implementazione, aggiornare il parametro "Effect" nei criteri di sicurezza per l'ambito applicabile. | Audit, Deny, Disabled | 2.2.0 |
| Le risorse di Servizi di Azure AI devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| Le risorse di Servizi di Azure AI devono usare collegamento privato di Azure | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato riduce i rischi di perdita di dati gestendo la connettività tra consumer e servizi tramite la rete backbone di Azure. È possibile trovare altre informazioni sui collegamenti privati alla pagina: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| Gli account Servizi cognitivi devono usare un'identità gestita | L'assegnazione di un'identità gestita all'account di Servizi cognitivi consente di garantire l'autenticazione sicura. Questa identità viene usata da questo account del servizio cognitivo per comunicare con altri servizi di Azure, ad esempio Azure Key Vault, in modo sicuro senza dover gestire le credenziali. | Audit, Deny, Disabled | 1.0.0 |
| Gli account Servizi cognitivi devono usare spazio di archiviazione di proprietà del cliente | Usare l’archiviazione di proprietà del cliente per controllare i dati inattivi archiviati in Servizi cognitivi. Per altre informazioni sull'archiviazione di proprietà del cliente, visitare https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli account di Servizi cognitivi per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account di Servizi cognitivi richiedano le identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/cs/auth. | Modifica, disattivato | 1.0.0 |
| Configurare gli account Servizi cognitivi per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa di Servizi cognitivi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2129800. | Disabilitato, Modifica | 3.0.0 |
| Configura gli account Servizi cognitivi con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
| I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati | Abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.