Definizioni di iniziative predefinite di Criteri di Azure
Questa pagina è un indice delle definizioni di iniziative predefinite di Criteri di Azure.
Il nome di ogni iniziativa predefinita include un collegamento all'origine della definizione di iniziative nel repository di GitHub su Criteri di Azure. Le iniziative predefinite sono raggruppate in base alla proprietà categoria nei metadati. Per passare a una categoria specifica, usare CTRL-F per la funzionalità di ricerca del browser.
Automanage
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Controllare la configurazione in base alle procedure consigliate per la gestione automatica | Le procedure consigliate per la gestione automatica dei computer assicurano che le risorse gestite vengano configurate in base allo stato desiderato, come definito nel profilo di configurazione assegnato. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Abilitare ChangeTracking e inventario per le macchine virtuali abilitate per Arc | Abilitare ChangeTracking e Inventario per le macchine virtuali abilitate per Arc. Accetta l'ID regola di raccolta dati come parametro e richiede un'opzione per immettere i percorsi applicabili. | 6 | 1.0.0-preview |
| [Anteprima]: Abilitare ChangeTracking e inventario per i set di scalabilità di macchine virtuali | Abilitare ChangeTracking e Inventario per i set di scalabilità di macchine virtuali. Accetta l'ID regola di raccolta dati come parametro e richiede un'opzione per immettere le posizioni applicabili e l'identità assegnata dall'utente per l'agente di Monitoraggio di Azure. | 7 | 1.0.0-preview |
| [Anteprima]: Abilitare ChangeTracking e inventario per le macchine virtuali | Abilitare ChangeTracking e Inventario per le macchine virtuali. Accetta l'ID regola di raccolta dati come parametro e richiede un'opzione per immettere le posizioni applicabili e l'identità assegnata dall'utente per l'agente di Monitoraggio di Azure. | 7 | 1.0.0-preview |
Cosmos DB
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| Abilita il criterio per la velocità effettiva di Azure Cosmos DB | Abilita il controllo della velocità effettiva per le risorse Azure Cosmos DB nell'ambito specificato (gruppo di gestione, sottoscrizione o gruppo di risorse). Accetta la velocità effettiva massima come parametro. Usare questo criterio per imporre il controllo della velocità effettiva tramite il provider di risorse. | 2 | 1.0.0 |
Generali
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| Consenti risorse costo utilizzo | Consentire la distribuzione delle risorse ad eccezione di MCPP, M365. | 2 | 1.0.0 |
Configurazione guest
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Distribuire i prerequisiti per abilitare i criteri di configurazione guest nelle macchine virtuali usando l'identità gestita assegnata dall'utente | Questa iniziativa aggiunge un'identità gestita assegnata dall'utente e distribuisce l'estensione configurazione guest appropriata per la piattaforma alle macchine virtuali idonee per essere monitorate dai criteri di configurazione guest. Si tratta di un prerequisito per i criteri di Configurazione guest e deve essere assegnato all'ambito di assegnazione dei criteri prima di usare qualsiasi criterio di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | 3 | 1.0.0-preview |
| [Anteprima]: i computer Windows devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure | Questa iniziativa controlla i computer Windows con impostazioni che non soddisfano la baseline di sicurezza di calcolo di Azure. Per informazioni dettagliate, vedere https://aka.ms/gcpol | 29 | 2.0.1-preview |
| Controlla i computer con impostazioni di sicurezza delle password non sicure | Questa iniziativa distribuisce i requisiti dei criteri e controlla i computer con impostazioni di sicurezza delle password non sicure. Per altre informazioni sui criteri di configurazione guest, vedere https://aka.ms/gcpol. | 9 | 1.1.0 |
| Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) nel computer Windows(inclusi i prerequisiti) | Crea un'assegnazione di configurazione guest (inclusi i prerequisiti) per configurare la versione del protocollo sicura specificata (TLS 1.1 o TLS 1.2) nel computer Windows. Per informazioni dettagliate, vedere https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| Distribuisci i prerequisiti per abilitare i criteri di configurazione guest nelle macchine virtuali | Questa iniziativa aggiunge un'identità gestita assegnata dal sistema e distribuisce l'estensione Configurazione guest appropriata per la piattaforma alle macchine virtuali che sono idonee per il monitoraggio da parte dei criteri di Configurazione guest. Si tratta di un prerequisito per i criteri di Configurazione guest e deve essere assegnato all'ambito di assegnazione dei criteri prima di usare qualsiasi criterio di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: usare l'integrità dell'immagine per assicurarsi che vengano distribuite solo immagini attendibili | Usare l'integrità delle immagini per garantire che i cluster del servizio Azure Kubernetes distribuiscano solo immagini attendibili abilitando l'integrità delle immagini e i componenti aggiuntivi Criteri di Azure nei cluster del servizio Azure Kubernetes. I componenti aggiuntivi per l'integrità delle immagini e Criteri di Azure componente aggiuntivo sono entrambi prerequisiti per l'uso dell'integrità delle immagini per verificare se l'immagine è firmata alla distribuzione. Per altre info, visitare https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Anteprima]: Le misure di sicurezza della distribuzione devono aiutare gli sviluppatori a seguire le procedure consigliate per il servizio Azure Kubernetes | Raccolta di procedure consigliate per Kubernetes consigliate da servizio Azure Kubernetes (servizio Azure Kubernetes). Per un'esperienza ottimale, usare le misure di sicurezza della distribuzione per assegnare questa iniziativa di criteri: https://aka.ms/aks/deployment-safeguards. Criteri di Azure componente aggiuntivo per il servizio Azure Kubernetes è un prerequisito per l'applicazione di queste procedure consigliate ai cluster. Per istruzioni sull'abilitazione del componente aggiuntivo Criteri di Azure, passare a aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Standard baseline di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard baseline di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Standard limitati di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard limitati di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Identità gestita
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Le credenziali federate dell'identità gestita devono essere di tipi approvati da origini federate approvate | Controllare l'uso delle credenziali federate per le identità gestite. Questa iniziativa incudisce i criteri per bloccare completamente le credenziali di identità federate, limitare l'uso a tipi di provider federatii specifici e limitare i reationation della federazione alle origini approvate. | 3 | 1.0.0-preview |
Monitoraggio
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Configurare Azure Defender per gli agenti SQL nelle macchine virtuali | Configurare le macchine virtuali per installare automaticamente gli agenti di Azure Defender per SQL in cui è installato l'agente di Monitoraggio di Azure. Il Centro sicurezza raccoglie gli eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. Questo criterio si applica solo alle macchine virtuali in alcune aree. | 2 | 1.0.0-preview |
| Configurare i computer Linux per eseguire l'agente di Monitoraggio di Azure e associarli a una regola di raccolta dati | Monitorare e proteggere le macchine virtuali Linux, i set di scalabilità di macchine virtuali e le macchine arc distribuendo l'estensione Agente di Monitoraggio di Azure e associando i computer a una regola di raccolta dati specificata. La distribuzione verrà eseguita nei computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco fornito di immagini) nelle aree supportate. | 4 | 3.2.0 |
| Configurare i computer Windows per eseguire l'agente di Monitoraggio di Azure e associarli a una regola di raccolta dati | Monitorare e proteggere le macchine virtuali Windows, i set di scalabilità di macchine virtuali e le macchine arc distribuendo l'estensione agente di Monitoraggio di Azure e associando i computer a una regola di raccolta dati specificata. La distribuzione verrà eseguita nei computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco fornito di immagini) nelle aree supportate. | 4 | 3.2.0 |
| Distribuire l'agente di Monitoraggio di Azure Linux con l'autenticazione gestita basata sull'identità assegnata dall'utente e associarsi alla regola di raccolta dati | Monitorare le macchine virtuali Linux e i set di scalabilità di macchine virtuali distribuendo l'estensione agente di Monitoraggio di Azure con l'autenticazione dell'identità gestita assegnata dall'utente e associandola alla regola di raccolta dati specificata. La distribuzione dell'agente di Monitoraggio di Azure si verificherà nei computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco fornito di immagini) nelle aree supportate. | 5 | 2.3.0 |
| Distribuire l'agente di Monitoraggio di Windows Azure con l'autenticazione gestita basata sull'identità assegnata dall'utente e associarsi alla regola di raccolta dati | Monitorare le macchine virtuali Windows e i set di scalabilità di macchine virtuali distribuendo l'estensione agente di Monitoraggio di Azure con l'autenticazione dell'identità gestita assegnata dall'utente e associandola alla regola di raccolta dati specificata. La distribuzione dell'agente di Monitoraggio di Azure si verificherà nei computer con immagini del sistema operativo supportate (o computer corrispondenti all'elenco fornito di immagini) nelle aree supportate. | 5 | 2.3.0 |
| Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categorie di controllo per instradare i log all'hub eventi per tutte le risorse supportate | 33 | 1.0.0 |
| Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categorie di controllo per instradare i log a Log Analytics per tutte le risorse supportate. | 33 | 1.0.0 |
| Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate nell'archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questa iniziativa distribuisce l'impostazione di diagnostica usando il gruppo di categorie di controllo per instradare i log all'archiviazione per tutte le risorse supportate. | 33 | 1.0.0 |
| Abilitare Monitoraggio di Azure per le macchine virtuali ibride con AMA | Abilitare Monitoraggio di Azure per le macchine virtuali ibride con AMA. | 6 | 1.0.0 |
| Abilitare Monitoraggio di Azure per le macchine virtuali con l'agente di monitoraggio di Azure | Abilitare Monitoraggio di Azure per le macchine virtuali con AMA. | 7 | 1.0.0 |
| Abilitare Monitoraggio di Azure per i set di scalabilità di macchine virtuali con l'agente di monitoraggio di Azure | Abilitare Monitoraggio di Azure per il set di scalabilità di macchine virtuali con AMA. | 7 | 1.0.0 |
| Legacy - Abilitare Monitoraggio di Azure per set di scalabilità di macchine virtuali | Legacy: abilitare Monitoraggio di Azure per il set di scalabilità di macchine virtuali nell'ambito specificato (gruppo di gestione, sottoscrizione o gruppo di risorse). Accetta l'area di lavoro Log Analytics come parametro. Usare la nuova iniziativa denominata: Abilitare Monitoraggio di Azure per i set di scalabilità di macchine virtuali con l'agente di monitoraggio di Azure( AMA). Nota: se il set di scalabilità upgradePolicy è impostato su manuale, è necessario applicare l'estensione a tutte le VM del set tramite una chiamata di aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | 6 | 1.0.2 |
| Legacy - Abilitare Monitoraggio di Azure per le macchine virtuali | Legacy: abilitare Monitoraggio di Azure per le macchine virtuali nell'ambito specificato (gruppo di gestione, sottoscrizione o gruppo di risorse). Accetta l'area di lavoro Log Analytics come parametro. Usare la nuova iniziativa denominata: Abilitare Monitoraggio di Azure per le macchine virtuali con l'agente di monitoraggio di Azure | 10 | 2.0.1 |
Rete
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| I log dei flussi devono essere configurati e abilitati per ogni gruppo di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se i log dei flussi sono configurati e se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | 2 | 1.0.0 |
Conformità alle normative
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Australian Government ISM PROTECTED | Questa iniziativa include criteri che rispondono a un subset di controlli ISM (Australian Government Information Security Manual). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [Anteprima]: CMMC 2.0 Livello 2 | Questa iniziativa include criteri che rispondono a un subset di procedure cmmc 2.0 di livello 2. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Anteprima]: Motion Picture Association of America (MPAA) | Questa iniziativa include criteri di controllo e distribuzione delle estensioni macchina virtuale per un subset di controlli di sicurezza e linee guida per Motion Picture Association of America (MPAA). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/mpaa-init. | 36 | 4.1.0-preview |
| [Anteprima]: Reserve Bank of India - IT Framework for Banks | Questa iniziativa include criteri che affrontano un sottoinsieme di controlli IT Framework della Reserve Bank of India per le banche. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Anteprima]: Reserve Bank of India - IT Framework for NBFC | Questa iniziativa include criteri che rispondono a un subset di controlli NBFC (Reserve Bank of India IT Framework for Non Banking Financial Companies). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Anteprima]: Baseline di sovranità - Criteri riservati | Microsoft Cloud for Sovranità consiglia criteri riservati per aiutare le organizzazioni a raggiungere i propri obiettivi di sovranità negando per impostazione predefinita la creazione di risorse all'esterno delle aree approvate, negando le risorse non supportate dal confidential computing di Azure e negando le risorse di archiviazione dei dati che non usano chiavi gestite dal cliente. Altri dettagli sono disponibili qui: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [Anteprima]: Baseline di sovranità - Criteri globali | Microsoft Cloud for Sovereignty consiglia criteri globali per aiutare le organizzazioni a raggiungere i propri obiettivi di sovranità negando per impostazione predefinita la creazione di risorse all'esterno delle aree approvate. Altri dettagli sono disponibili qui: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [Anteprima]: SWIFT CSP-CSCF v2020 | Questa iniziativa include criteri di controllo e distribuzione delle estensioni macchina virtuale per un subset di controlli SWIFT CSP-CSCF v2020. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/swift2020-init. | 59 | 6.1.0-preview |
| [Anteprima]: SWIFT CSP-CSCF v2021 | Questa iniziativa include criteri che rispondono a un sottoinsieme dei controlli Customer Security Framework v2021 del programma SWIFT Customer Security Controls Framework v2021. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| Certificazione ACAT per Microsoft 365 | Lo strumento di automazione della conformità delle app per Microsoft 365 (ACAT) semplifica il processo per ottenere la certificazione di Microsoft 365, vedere https://aka.ms/acat. Questa certificazione garantisce che le app dispongano di procedure avanzate di sicurezza e conformità per proteggere i dati, la sicurezza e la privacy dei clienti. Questa iniziativa include criteri che rispondono a un subset dei controlli di certificazione di Microsoft 365. Altri criteri verranno aggiunti nelle versioni successive. | 24 | 1.0.0 |
| Canada Federal PBMM | Questa iniziativa include criteri che rispondono a un subset di controlli Canada Federal PBMM. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per il cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri riguardano un subset di controlli CIS Microsoft Azure Foundations Benchmark v1.1.0. Per altre informazioni, vedere https://aka.ms/cisazure110-initiative | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per il cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri riguardano un subset di controlli CIS Microsoft Azure Foundations Benchmark v1.3.0. Per altre informazioni, vedere https://aka.ms/cisazure130-initiative | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per il cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri riguardano un subset di controlli CIS Microsoft Azure Foundations Benchmark v1.4.0. Per altre informazioni, vedere https://aka.ms/cisazure140-initiative | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Il Center for Internet Security (CIS) è un'entità no profit la cui missione è "identificare, sviluppare, convalidare, promuovere e sostenere soluzioni di procedure consigliate per il cyberdefense". I benchmark CIS sono linee di base di configurazione e procedure consigliate per la configurazione sicura di un sistema. Questi criteri riguardano un subset di controlli CIS Microsoft Azure Foundations Benchmark v2.0.0. Per altre informazioni, vedere https://aka.ms/cisazure200-initiative | 211 | 1.1.0 |
| CMMC Livello 3 | Questa iniziativa include criteri che rispondono a un subset di requisiti cmmc (Cybersecurity Maturity Model Certification) livello 3. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP High | FedRAMP è un programma a livello di governo degli Stati Uniti che fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo per prodotti e servizi basati sul cloud. FedRAMP definisce un set di controlli per sistemi a basso, moderato o alto livello di impatto sulla sicurezza in base ai controlli di base NIST. Questi criteri rispondono a un subset di controlli FedRAMP (High). Per altre informazioni, vedere https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 732 | 17.11.0 |
| FedRAMP Moderate | FedRAMP è un programma a livello di governo degli Stati Uniti che offre un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo per prodotti e servizi basati sul cloud. FedRAMP definisce un set di controlli per sistemi a basso, moderato o alto livello di impatto sulla sicurezza in base ai controlli di base NIST. Questi criteri rispondono a un subset di controlli FedRAMP (Moderate). Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://www.fedramp.gov/documents-templates/ | 663 | 17.10.0 |
| HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) consente alle organizzazioni di tutti i settori, ma soprattutto di gestire in modo efficace i dati, i rischi informativi e la conformità. La certificazione HITRUST significa che l'organizzazione ha subito una valutazione approfondita del programma di sicurezza delle informazioni. Questi criteri rispondono a un subset di controlli HITRUST. Per altre informazioni, vedere https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 610 | 14.3.0 |
| IRS1075 September 2016 | Questa iniziativa include criteri che rispondono a un subset di controlli IRS1075 settembre 2016. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | Lo standard ISO (International Organization for Standardization) 27001 fornisce i requisiti per stabilire, implementare, gestire e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS). Questi criteri rispondono a un subset di controlli ISO 27001:2013. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/iso27001-init | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | Il National Institute of Standards and Technology (NIST) degli Stati Uniti promuove e mantiene gli standard di misurazione e le linee guida per proteggere le informazioni e i sistemi informativi delle agenzie federali. In risposta all'ordine esecutivo 13556 sulla gestione delle informazioni non classificate controllate (CUI), ha pubblicato NIST SP 800-171. Questi criteri riguardano un subset di controlli NIST SP 800-171 Rev. 2. Per altre informazioni, vedere https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | National Institute of Standards and Technology (NIST) SP 800-53 R4 offre un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing per gestire i rischi di sicurezza delle informazioni. Questi criteri riguardano un subset di controlli NIST SP 800-53 R4. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/nist800-53r4-initiative | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 offre un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing per gestire i rischi di sicurezza delle informazioni. Questi criteri rispondono a un subset di controlli NIST SP 800-53 R5. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/nist800-53r5-initiative | 718 | 14.10.0 |
| NL BIO Cloud Theme | Questa iniziativa include criteri che affrontano i controlli di base olandese Informatiebeveiliging (BIO) specificamente per i controlli "thema-uitwerking Clouddiensten" e includono i criteri coperti dai controlli SOC2 e ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | Payment Card Industry (PCI) Data Security Standard (DSS) è uno standard di sicurezza delle informazioni globale progettato per evitare frodi tramite un maggiore controllo dei dati delle carte di credito. La conformità a PCI DSS è necessaria per qualsiasi organizzazione che archivia, elabora o trasmette i dati di pagamento e titolari di carte. Questi criteri rispondono a un subset di controlli PCI-DSS v4. Per altre informazioni, vedere https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Questa iniziativa include criteri che rispondono a un subset di controlli PCI v3.2.1:2018. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malaysia | Questa iniziativa include criteri che rispondono a un subset di requisiti RMIT. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, visitare aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 Type 2 | Un sistema e i controlli dell'organizzazione (SOC) 2 è un report basato sui principi e i criteri del Trust Service stabiliti dall'American Institute of Certified Public Accountants (AICPA). Il report valuta il sistema informativo di un'organizzazione pertinente ai principi seguenti: sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy. Questi criteri riguardano un subset di controlli SOC 2 Type 2. Per altre informazioni, vedere https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | Il programma CSP (Customer Security Program) di SWIFT aiuta le istituzioni finanziarie a garantire che le loro difese contro i attacchi informatici siano aggiornate ed efficaci, per proteggere l'integrità della rete finanziaria più ampia. Gli utenti confrontano le misure di sicurezza implementate con quelle dettagliate in Customer Security Controls Framework (CSCF). Questi criteri consentono di gestire un subset di controlli SWIFT. Per altre informazioni, vedere https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 343 | 2.3.0 |
| UK OFFICIAL and UK NHS | Questa iniziativa include criteri di controllo e distribuzione delle estensioni macchina virtuale per un subset di controlli UK OFFICIAL and UK NHS. Altri criteri verranno aggiunti nelle versioni successive. Per altre informazioni, vedere https://aka.ms/ukofficial-init e https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Resilienza
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Le risorse devono essere resilienti per la zona | Alcuni tipi di risorse possono essere distribuiti con ridondanza della zona (ad esempio database SQL), alcuni possono essere distribuiti allineati alla zona (ad esempio Macchine virtuali) e alcuni possono essere distribuiti sia allineati alla zona che ridondanti della zona (ad esempio, set di scalabilità di macchine virtuali). L'allineamento della zona non garantisce la resilienza, ma è la base su cui è possibile creare una soluzione resiliente ,ad esempio tre set di scalabilità di macchine virtuali zona allineata a tre zone diverse nella stessa area con un servizio di bilanciamento del carico. Per ulteriori informazioni, https://aka.ms/AZResilience vedere: | 34 | 1.10.0-preview |
Applicazioni
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| Controllare l'accesso alla rete pubblica | Controllare le risorse di Azure che consentono l'accesso da Internet pubblico | 35 | 4.2.0 |
| Valutare l'utilizzo di collegamento privato in tutte le risorse di Azure supportate | Le risorse conformi hanno almeno una connessione endpoint privato approvata | 30 | 1.1.0 |
Centro sicurezza
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente | Distribuire Microsoft Defender per endpoint agente nelle immagini applicabili. | 4 | 1.0.0-preview |
| Configurare Advanced Threat Protection per l'abilitazione nei database relazionali open source | Abilitare Advanced Threat Protection nei database relazionali open source non Basic per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Vedere https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configurare Azure Defender per l'abilitazione in SQL Server e Istanza gestita di SQL | Abilitare Azure Defender nei server SQL e Istanza gestita di SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | 3 | 3.0.0 |
| Configurare i piani di Microsoft Defender per il cloud | Microsoft Defender per il cloud offre protezioni complete native del cloud dallo sviluppo al runtime in ambienti multi-cloud. Usare l'iniziativa dei criteri per configurare i piani e le estensioni Defender per il cloud da abilitare negli ambiti selezionati. | 11 | 1.0.0 |
| Configurare Microsoft Defender per database da abilitare | Configurare Microsoft Defender per database per proteggere i database SQL di Azure, le Istanza gestita, i database relazionali open source e Cosmos DB. | 4 | 1.0.0 |
| Configurare più impostazioni di integrazione Microsoft Defender per endpoint con Microsoft Defender per il cloud | Configurare più impostazioni di integrazione Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION e così via). Per altre informazioni, vedere: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
| Configurare macchine virtuali SQL e SQL Server abilitati per Arc per installare Microsoft Defender per SQL e AMA con un'area di lavoro la | Microsoft Defender per SQL raccoglie gli eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | 9 | 1.2.1 |
| Configurare macchine virtuali SQL e SQL Server abilitati per Arc per installare Microsoft Defender per SQL e AMA con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | 8 | 1.1.1 |
| Microsoft Cloud Security Benchmark | L'iniziativa microsoft cloud security benchmark rappresenta i criteri e i controlli che implementano le raccomandazioni di sicurezza definite nel benchmark di sicurezza cloud Microsoft, vedere https://aka.ms/azsecbm. Questa operazione funge anche da iniziativa di criteri predefinita di Microsoft Defender per il cloud. È possibile assegnare direttamente questa iniziativa o gestire i criteri e i risultati di conformità all'interno di Microsoft Defender per il cloud. | 241 | 57.37.0 |
SQL
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| database SQL di Azure deve avere l'autenticazione solo Entra di Microsoft | Richiedere l'autenticazione solo Entra di Microsoft per database SQL di Azure, disabilitando i metodi di autenticazione locale. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con miglioramenti di autenticazione moderni, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
| Istanza gestita di SQL di Azure deve avere l'autenticazione solo Entra di Microsoft | Richiedere l'autenticazione solo Entra-only di Microsoft per Istanza gestita di SQL di Azure, disabilitando i metodi di autenticazione locale. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con miglioramenti di autenticazione moderni, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
Synapse
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| Configurare le aree di lavoro di Synapse in modo che impostino le identità solo Entra di Microsoft per l'autenticazione | Richiedere e configurare l'autenticazione solo Entra di Microsoft per le aree di lavoro di Synapse, disabilitando i metodi di autenticazione locale. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con miglioramenti di autenticazione moderni, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
| Le aree di lavoro di Synapse devono avere l'autenticazione solo Entra di Microsoft | Richiedere l'autenticazione solo Entra di Microsoft per le aree di lavoro di Synapse, disabilitando i metodi di autenticazione locale. Ciò consente l'accesso esclusivamente tramite le identità di Microsoft Entra, migliorando la sicurezza con miglioramenti di autenticazione moderni, tra cui MFA, SSO e accesso a livello di codice senza segreto con identità gestite. | 2 | 1.0.0 |
Tag
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| Assicura che le risorse non abbiano un tag specifico. | Nega la creazione di una risorsa che contiene il tag specificato. Non si applica ai gruppi di risorse. | 1 | 2.0.0 |
Avvio attendibile
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Configurare i prerequisiti per abilitare l'attestazione guest nelle macchine virtuali abilitate per l'avvio attendibile | Configurare le macchine virtuali abilitate per l'avvio attendibile per installare automaticamente l'estensione Attestazione guest e abilitare l'identità gestita assegnata dal sistema per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. Per altri dettagli, vedere il collegamento seguente: https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
VirtualEnclaves
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Controllare l'uso del servizio Azure Kubernetes in un'enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per il servizio Azure Kubernetes garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di servizio app in un'enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per servizio app garantire la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di Registro Contenitori in un enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per Registro Container assicurando la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente separata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di CosmosDB in un'enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per CosmosDB garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso delle impostazioni di diagnostica per risorse specifiche in un enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per garantire la configurazione di tipi di risorse specifici in Enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di Key Vault in un enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per Key Vault garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di Microsoft SQL in un enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per Microsoft SQL assicurando la protezione dei limiti di questa risorsa mentre opera all'interno della struttura logicamente separata delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di PostgreSql in un enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per PostgreSql garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di bus di servizio in un'enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per bus di servizio garantire la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [Anteprima]: Controllare l'uso di account Archiviazione in un'enclave virtuale | Questa iniziativa distribuisce i criteri di Azure per gli account Archiviazione garantendo la protezione dei limiti di questa risorsa mentre opera all'interno della struttura delimitata logicamente delle enclave virtuali di Azure. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.