Azure Policy の組み込みのポリシー定義
このページは、Azure Policy の組み込みのポリシー定義のインデックスです。
各組み込みの名前は、Azure portal のポリシー定義にリンクしています。 [ソース] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。 組み込みは、メタデータ内のカテゴリ プロパティによってグループ化されます。 特定のカテゴリに移動するには、ブラウザーの検索機能に Ctrl-F キーを使用します。
API for FHIR
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure API for FHIR に格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | audit、Audit、disabled、Disabled | 1.1.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | クロス オリジン リソース共有 (CORS) で API for FHIR へのアクセスをすべてのドメインに許可することは避けます。 API for FHIR を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 | audit、Audit、disabled、Disabled | 1.1.0 |
API Management
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management の API では暗号化されたプロトコルのみを使用する必要がある | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | Audit, Disabled, Deny | 2.0.2 |
| API Management から API バックエンドへの呼び出しは認証する必要がある | API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 | Audit, Disabled, Deny | 1.0.1 |
| API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | API セキュリティを改善するために、API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 | Audit, Disabled, Deny | 1.0.2 |
| API Management の直接管理エンドポイントを有効にしてはならない | Azure API Management の直接管理 REST API を使用すると、Azure Resource Manager のロールベースのアクセス制御、承認、調整メカニズムがバイパスされるため、サービスの脆弱性が高まります。 | Audit, Disabled, Deny | 1.0.2 |
| API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | Audit, Disabled, Deny | 1.0.2 |
| API Management サービスで仮想ネットワークをサポートする SKU を使用する必要がある | API Management のサポートされている SKU を使用して、仮想ネットワークにサービスをデプロイすると、高度な API Management ネットワークとセキュリティ機能のロックが解除されるため、ネットワーク セキュリティの構成をより細かく制御できます。 詳細については、https://aka.ms/apimvnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| API Management でユーザー名とパスワードの認証を無効にする必要があります | 開発者ポータルのセキュリティを強化するには、API Management でのユーザー名とパスワードの認証を無効にする必要があります。 Azure AD または Azure AD B2C ID プロバイダーを使用したユーザー認証を構成し、既定のユーザー名とパスワードの認証を無効にします。 | Audit、Disabled | 1.0.1 |
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | Audit, Disabled, Deny | 1.1.0 |
| Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください | Audit、Deny、Disabled | 1.0.0 |
| API Management パブリック サービス構成エンドポイントへのアクセスを無効にするように API Management サービスを構成する | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| API Management を変更してユーザー名とパスワードの認証を無効にする | 開発者ポータルのユーザー アカウントとその資格情報のセキュリティを強化するには、Azure AD または Azure AD B2C ID プロバイダーを使用してユーザー認証を構成し、既定のユーザー名とパスワードの認証を無効にします。 | 変更 | 1.1.0 |
App Configuration
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Configuration でパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Configuration はカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。 | Audit、Deny、Disabled | 1.1.0 |
| App Configuration ではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Configuration ストアでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、App Configuration ストアの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| ローカル認証方法を無効にするように App Configuration ストアを構成する | ローカルの認証方法を無効にして、App Configuration ストアの認証で Microsoft Entra の ID のみを要求するようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 | Modify、Disabled | 1.0.1 |
| App Configuration でパブリック ネットワーク アクセスを無効に構成する | App Configuration のパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Modify、Disabled | 1.0.0 |
| App Configuration に接続されているプライベート エンドポイントのプライベート DNS ゾーンを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、アプリ構成インスタンスを解決することができます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| App Configuration のプライベート エンドポイントの構成 | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
アプリ プラットフォーム
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: 分散トレースが有効になっていない Azure Spring Cloud インスタンスを監査する | Azure Spring Cloud の分散トレース ツールを使用すると、アプリケーション内のマイクロサービス間の複雑な相互接続のデバッグと監視が可能になります。 分散トレース ツールを有効にして、正常な状態にしてください。 | Audit、Disabled | 1.0.0-preview |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
App Service
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリ スロットを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
| App Service アプリ スロットで Azure Virtual Network への構成ルーティングを有効にする必要がある | 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョンの仮想ネットワーク統合を介してルーティングされません。 API を使ってルーティング オプションを true に設定すると、Azure Virtual Network を介した構成トラフィックが有効になります。 これらの設定により、ネットワーク セキュリティ グループやユーザー定義ルートのような機能を使用し、サービス エンドポイントをプライベートにすることができます。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある | 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 | Audit、Deny、Disabled | 1.0.0 |
| App Service アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリのスロットでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service アプリのスロットでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.4 |
| App Service アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.1 |
| App Service アプリ スロットでは、リソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 2.0.0 |
| App Serivce アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 1.0.0 |
| App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、マネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.0.0 |
| Java を使用する App Service アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Java バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| PHP を使用する App Service アプリ スロットでは、指定された 'PHP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Python を使用する App Service アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 3.0.0 |
| App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
| App Service アプリで Azure Virtual Network への構成ルーティングを有効にする必要がある | 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョンの仮想ネットワーク統合を介してルーティングされません。 API を使ってルーティング オプションを true に設定すると、Azure Virtual Network を介した構成トラフィックが有効になります。 これらの設定により、ネットワーク セキュリティ グループやユーザー定義ルートのような機能を使用し、サービス エンドポイントをプライベートにすることができます。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある | 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 | Audit、Deny、Disabled | 1.0.0 |
| App Service アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | Audit、Deny、Disabled | 4.1.0 |
| App Service アプリでは、コンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 3.0.0 |
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Java バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 |
| PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.2.0 |
| Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
| パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある | App Service Environment にデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワークで IP アドレスを使用して App Service Environment をデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environment を内部ロード バランサーと共にデプロイする必要があります。 | Audit、Deny、Disabled | 3.0.0 |
| App Service Environment は最強の TLS 暗号スイートを使用して構成する必要がある | App Service Environment が正常に機能するために必要な、最小と最強の 2 つの暗号スイートは次のとおりです: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 および TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
| App Service Environment は最新バージョンでプロビジョニングする必要がある | App Service Environment バージョン 2 またはバージョン 3 のプロビジョニングのみを許可します。 以前のバージョンの App Service Environment では、Azure リソースを手動で管理する必要があり、スケーリングにより大きな制限があります。 | Audit、Deny、Disabled | 1.0.0 |
| App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
| App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある | TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 TLS 1.0 と 1.1 の受信トラフィックを無効にすると、App Service Environment でアプリを守ることになります。 | Audit、Deny、Disabled | 2.0.1 |
| FTP デプロイのローカル認証を無効にするように App Service アプリのスロットを構成する | FTP デプロイのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| SCM サイトのローカル認証を無効にするように App Service アプリのスロットを構成する | SCM サイトのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| パブリック ネットワーク アクセスを無効にするように App Service アプリ スロットを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
| HTTPS を介してのみアクセスできるように App Service アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
| リモート デバッグを無効にするように App Service アプリ スロットを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
| 最新の TLS バージョンを使用するように App Service アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
| FTP デプロイのローカル認証を無効にするように App Service アプリを構成する | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| SCM サイトのローカル認証を無効にするように App Service アプリを構成する | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
| HTTPS を介してのみアクセスできるように App Service アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
| リモート デバッグを無効にするように App Service アプリを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように App Service アプリを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークが App Service にリンクされます。 詳細については、https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| 最新の TLS バージョンを使用するように App Service アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.0.1 |
| パブリック ネットワーク アクセスを無効にするように関数アプリ スロットを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
| HTTPS を介してのみアクセスできるように関数アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
| リモート デバッグを無効にするように関数アプリ スロットを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
| 最新の TLS バージョンを使用するように関数アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
| パブリック ネットワーク アクセスを無効にするように関数アプリを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
| HTTPS を介してのみアクセスできるように関数アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
| リモート デバッグを無効にするように関数アプリを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
| 最新の TLS バージョンを使用するように関数アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.0.1 |
| 関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
| 関数アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 2.0.0 |
| 関数アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 1.0.0 |
| 関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.0.0 |
| Java を使用する関数アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Python を使用する関数アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
| 関数アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 3.0.0 |
| 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 |
| Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
構成証明
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Attestation プロバイダーでパブリック ネットワーク アクセスを無効にする必要がある | Azure Attestation サービスのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 aka.ms/azureattestation の説明に従って、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Attestation プロバイダーはプライベート エンドポイントを使用する必要がある | プライベート エンドポイントを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Attestation プロバイダーを Azure リソースに接続できます。 プライベート エンドポイントは、パブリック アクセスを防止することにより、望ましくない匿名アクセスから保護するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
自動管理
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: Automanage 構成プロファイルの割り当ては Conformant である必要がある | Automanage によって管理されるリソースの状態は Conformant または ConformantCorrected である必要があります。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 仮想マシンでブート診断を有効にする必要がある | Azure 仮想マシンではブート診断を有効にする必要があります。 | Audit、Disabled | 1.0.0-preview |
| Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、選択したスコープに自動管理を適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
| カスタム構成プロファイルを使用して Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| Windows Server Azure Edition の VM に対してホットパッチを有効にする必要がある | ホットパッチを使用して、再起動を最小限に抑え、更新プログラムをすばやくインストールします。 詳細については、https://docs.microsoft.com/azure/automanage/automanage-hotpatch を参照してください | Audit、Deny、Disabled | 1.0.0 |
Automation
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Automation アカウントではマネージド ID を使用する必要がある | マネージド ID は、Runbook の Azure リソースで認証するための推奨方法として使用します。 認証のためのマネージド ID は安全性に優れ、Runbook コードで RunAs アカウントを使用することにともなう間接管理費がなくなります。 | Audit、Disabled | 1.0.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| Automation アカウントで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Automation アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようになるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/automation-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Automation アカウントを構成する | ローカル認証方法を無効にして、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようにします。 | Modify、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Automation アカウントを構成する | Azure Automation アカウントの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用して Azure Automation アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Private Link を使用して Azure Automation アカウントに接続するには、プライベート DNS ゾーンが適切に構成されている必要があります。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Automation アカウントでのプライベート エンドポイント接続の構成 | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Automation アカウントでプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Active Directory
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Active Directory Domain Services managed domains should use TLS 1.2 only mode (Azure Active Directory Domain Services マネージド ドメインで TLS 1.2 専用モードを使用する必要がある) | マネージド ドメインに対して TLS 1.2 専用モードを使用します。 既定では、Azure AD Domain Services で、NTLM v1 や TLS v1 などの暗号を使用できます。 これらの暗号は、一部のレガシ アプリケーションで必要になる場合がありますが、脆弱と見なされており、不要であれば無効にできます。 TLS 1.2 専用モードが有効になっている場合、TLS 1.2 を使用せずに要求を行うクライアントはすべて失敗します。 詳細については、https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
Azure AI Services
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | DeployIfNotExists、Disabled | 1.0.0 |
| ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | DeployIfNotExists、Disabled | 1.0.0 |
| Azure AI サービス リソースの診断ログを有効にする必要がある | Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
Azure Arc
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスの作成または変更を拒否する。 | このポリシーを使用すると、Windows Server 2012 Arc マシンの ESU ライセンスの作成または変更を制限できます。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | Deny、Disabled | 1.0.0-preview |
| [プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後も Windows 2012 マシンが保護されるようにする。 | 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後も Windows 2012 マシンが保護されるようにします。 Azure Arc を使用した Windows Server 2012 用の拡張セキュリティ更新プログラムの配信を準備する方法については、https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates を参照してください。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
| Azure Arc プライベート リンク スコープはプライベート エンドポイントを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Arc リソースがパブリック インターネット経由で接続できなくなるため、セキュリティが強化されます。 プライベート エンドポイントを作成すると、Azure Arc リソースの公開を制限できます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Arc 対応サーバーは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効に構成する | Azure arc プライベート リンク スコープのパブリック ネットワーク アクセスを無効にして、関連付けられている Azure Arc リソースがパブリック インターネット経由で Azure Arc サービスに接続できないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Arc プライベート リンク スコープを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Arc プライベート リンク スコープに解決されます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.2.0 |
| プライベート エンドポイントを使用して Azure Arc プライベート リンク スコープを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応 Kubernetes クラスターを構成する | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応サーバーを構成する | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
Azure Data Explorer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Data Explorer 上ですべてのデータベース管理者を無効にする必要がある | すべてのデータベース管理者ロールを無効にして、高い特権を持つ管理ユーザー ロールの付与を制限します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer クラスターはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Data Explorer クラスターにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Data Explorer における保存時の暗号化でカスタマー マネージド キーを使用する必要がある | Azure Data Explorer クラスターでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、特別なコンプライアンス要件を持つ顧客に適用でき、キーの管理に Key Vault を必要とします。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer ではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| プライベート エンドポイントを指定して Azure Data Explorer クラスターを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Data Explorer にプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細については、[ServiceSpecificAKA.ms] をご覧ください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Data Explorer を構成する | 公衆ネットワーク アクセスのプロパティを無効にすると、パブリック接続がシャットダウンされるので、Azure Data Explorer はプライベート エンドポイントからのみアクセス可能になります。 この構成では、Azure Data Explorer クラスター下のすべてのデータベースについて公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| Azure Data Explorer でディスク暗号化を有効にする必要がある | ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Explorer で二重暗号化を有効にする必要がある | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Explorer の公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure Data Explorer へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer に対して仮想ネットワークの挿入を有効にする必要がある | ネットワーク セキュリティ グループ規則を適用し、オンプレミスで接続し、サービス エンドポイントを使用してデータ接続ソースのセキュリティで保護できるようにする、仮想ネットワークの挿入によってネットワーク境界をセキュリティで保護します。 | Audit、Deny、Disabled | 1.0.0 |
Azure Databricks
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Databricks クラスターはパブリック IP を無効にする必要がある | Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないことを保証できるので、セキュリティが向上します。 詳細については、https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks ワークスペースは仮想ネットワーク内に存在する必要があります | Azure Virtual Network は、Azure Databricks ワークスペースに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Databricks ワークスペースは Private Link や暗号化用カスタマー マネージド キーなどの機能をサポートしている Premium SKU である必要がある | Databricks ワークスペースに、Private Link や暗号化用カスタマー マネージド キーなどの機能をサポートするためにお客様の組織がデプロイ可能な、Premium SKU のみを許可します。 詳細については、https://aka.ms/adbpe を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks ワークスペースではプライベート リンクを使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 | Audit、Disabled | 1.0.2 |
| プライベート DNS ゾーンを使用するように Azure Databricks ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Azure Databricks ワークスペースに解決します。 詳細については、https://aka.ms/adbpe を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート エンドポイントを使用して Azure Databricks ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 | DeployIfNotExists、Disabled | 1.0.2 |
| Log Analytics ワークスペースに Azure Databricks ワークスペースの診断設定を構成する | Azure Databricks ワークスペースのリソース ログをストリーミングする診断設定がない Azure Databricks ワークスペースが作成または更新されたときには、その診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Databricks ワークスペースのリソース ログを有効にする必要がある | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
Azure Edge Hardware Center
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Edge Hardware Center デバイスで二重暗号化サポートを有効にする必要がある | Azure Edge Hardware Center からオーダーされたデバイスで、二重暗号化サポートが有効になっていることを確認し、デバイスの保存データを保護します。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 2.0.0 |
Azure ロード テスト
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Load Testing リソースでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キー (CMK) を使用して、Azure Load Testing リソースの保存時の暗号化を管理します。 既定では、暗号化はサービス マネージド キーを使用して行われます。カスタマー マネージド キーを使用すると、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Purview
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Purview アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure Purview アカウントにプライベート エンドポイントをマッピングすると、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/purview-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Stack Edge
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Stack Edge デバイスは二重暗号化を使用する必要がある | デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Update Manager
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Arc 対応サーバーで不足しているシステム更新プログラムの定期的なチェックを構成する | Azure Arc 対応サーバーの OS の更新に対して、自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | 変更 | 2.2.1 |
| Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する | ネイティブの Azure 仮想マシンで、OS の更新の自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | 変更 | 4.8.0 |
| 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 AssessmentMode プロパティの詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.7.0 |
| Azure Update Manager を使用して定期的な更新をスケジュールする | Azure Update Manager を使用すると、Azure、オンプレミス環境、Azure Arc 対応サーバーを使用して接続されている他のクラウド環境に、Windows Server および Linux マシン用のオペレーティング システム更新プログラムをインストールするために、定期的なデプロイ スケジュールを保存できます。 また、このポリシーでは、Azure 仮想マシンのパッチ モードが "AutomaticByPlatform" に変更されます。 詳細情報: https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.10.0 |
バックアップ
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Backup 拡張機能を AKS クラスターにインストールする必要がある | Azure Backup を活用するには、AKS クラスターにバックアップ拡張機能の保護がインストールされているようにします。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: AKS クラスターに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、AKS クラスターを確実に保護します。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ストレージ アカウントの BLOB に対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、ストレージ アカウントを確実に保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Managed Disks に対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Managed Disks を確実に保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Backup Vault では、バックアップ データを暗号化するためにカスタマー マネージド キーを使用する必要があります。 また、Infra Encryption を適用するオプションもあります。 | スコープ内の Backup コンテナーに対して暗号化設定が有効になっている場合、このポリシーは '効果' に従います。 さらに、Backup Vault でもインフラストラクチャ暗号化が有効になっているかどうかを確認するオプションです。 詳細については、https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk をご覧ください。 '拒否' 効果を使用する場合は、コンテナーに対する他の更新操作を許可するために、既存の Backup コンテナーで暗号化設定を有効にする必要があることに注意してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネット上に Recovery Services コンテナーが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Recovery Services コンテナーの露出を制限できます。 詳細については、https://aka.ms/AB-PublicNetworkAccess-Deny を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | Audit、Disabled | 2.0.0-preview |
| [プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Recovery Services コンテナーを構成する | Recovery Services コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/AB-PublicNetworkAccess-Deny を参照してください。 | Modify、Disabled | 1.0.0-preview |
| [プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する | 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する | 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| プレビュー: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: バックアップ用にプライベート エンドポイントを使用するように Recovery Services コンテナーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート エンドポイント構成の対象となるには、コンテナーが特定の前提条件を満たす必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2187162 を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーのクロス サブスクリプション復元を無効にする | Recovery Services コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットをコンテナー サブスクリプションとは異なるサブスクリプションに含めることができなくなります。 詳細については、https://aka.ms/csrenhancements を参照してください。 | Modify、Disabled | 1.1.0-preview |
| [プレビュー]: バックアップ コンテナーのクロス サブスクリプション復元を無効にする | バックアップ コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットはコンテナー サブスクリプションとは異なるサブスクリプションに存在できなくなります。 詳細については、https://aka.ms/csrstatechange を参照してください。 | Modify、Disabled | 1.1.0-preview |
| [プレビュー]: 選択したストレージ冗長性の Recovery Services コンテナーの作成を許可しない。 | Recovery Services コンテナーは、現在、3 つのストレージ冗長性オプション、つまりローカル冗長ストレージ、ゾーン冗長ストレージ、geo 冗長ストレージのいずれか 1 つを設定して作成できます。 組織内のポリシーで、特定の冗長性の種類に属するコンテナーの作成をブロックすることが求められている場合、この Azure ポリシーを使用して同じ結果を達成できます。 | Deny、Disabled | 1.0.0-preview |
| [プレビュー]: バックアップ コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
| [プレビュー]: Recovery Services コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内の Recovery Services コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
| [プレビュー]: バックアップ コンテナーに対してマルチユーザー認可 (MUA) を有効にする必要があります。 | このポリシーでは、バックアップ コンテナーに対してマルチユーザー認可 (MUA) を有効になっているか監査します。 MUA は、クリティカルな操作に保護層を追加することでバックアップ コンテナーをセキュリティ保護する目的で役立ちます。 詳細情報はこちら (https://aka.ms/mua-for-bv) をご覧ください。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: Recovery Services コンテナーに対してマルチユーザー認可 (MUA) を有効にする必要がある。 | このポリシーでは、Recovery Services コンテナーに対してマルチユーザー認可 (MUA) を有効になっているか監査します。 MUA は、クリティカルな操作に保護層を追加することで Recovery Services コンテナーをセキュリティ保護する目的で役立ちます。 詳細情報はこちら (https://aka.ms/MUAforRSV) をご覧ください。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: Recovery Services コンテナーに対して論理的な削除を有効にする必要がある。 | このポリシーでは、スコープ内の Recovery Services コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除は、削除された後にデータを復旧するのに役立ちます。 詳細については、https://aka.ms/AB-SoftDelete をご覧ください。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: バックアップ コンテナーに対して論理的な削除を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除では、データが削除された後に復旧させることができます。 詳細については、https://aka.ms/AB-SoftDelete を参照してください | Audit、Disabled | 1.0.0-preview |
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| リソース固有のカテゴリの Log Analytics ワークスペースに Recovery Services コンテナーの診断設定をデプロイする。 | リソース固有のカテゴリの Log Analytics ワークスペースにストリーム配信する Recovery Services コンテナーの診断設定をデプロイします。 リソース固有のカテゴリのいずれかが有効になっていない場合は、新しい診断設定が作成されます。 | deployIfNotExists | 1.0.2 |
Batch
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/Batch-CMK をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Batch プールでディスク暗号化を有効にする必要があります | Azure Batch ディスクの暗号化を有効にすると、データは常に Azure Batch 計算ノードで保存時に暗号化されます。 https://docs.microsoft.com/azure/batch/disk-encryption での Batch ディスク暗号化について確認してください。 | Audit, Disabled, Deny | 1.0.0 |
| Batch アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Batch アカウントで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/batch/auth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Batch アカウントを構成してローカル認証を無効にする | ローカル認証方法を無効にして、Batch アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/batch/auth を参照してください。 | Modify、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Batch アカウントを構成する | Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Batch アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Batch アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - Batch アカウントに接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する | プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Batch アカウントでメトリック アラート ルールを構成する必要がある | 必須メトリックを有効にするための Batch アカウントにおけるメトリック アラート ルールの構成を監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Batch アカウントでプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Batch アカウントでは公衆ネットワーク アクセスを無効にする必要がある | Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
ボット サービス
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Bot Service エンドポイントは有効な HTTPS URI である必要がある | データは送信中に改ざんされる可能性があります。 誤用や改ざんの問題に対処する暗号化を提供するプロトコルが存在します。 確実に暗号化されたチャンネルでのみボットが通信を行うように、エンドポイントを有効な HTTPS URI に設定してください。 そうすることで、HTTPS プロトコルを使用して転送中のデータが確実に暗号化されます。また、これは多くの場合、規制や業界標準に準拠するための要件でもあります。 https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Bot Service は、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft マネージド暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるには、カスタマー マネージド キーを選択します。これは、Bring Your Own Key (BYOK) とも呼ばれます。 Azure Bot Service 暗号化の詳細については、https://docs.microsoft.com/azure/bot-service/bot-service-encryption を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Bot Service で分離モードが有効になっている必要があります | ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| Bot Service では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、ボットが認証のために AAD のみ使用するようになり、セキュリティが強化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Bot Service ではパブリック ネットワーク アクセスを無効にする必要がある | ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 | Audit、Deny、Disabled | 1.0.0 |
| BotService リソースでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが軽減されます。 | Audit、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように BotService リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、BotService 関連リソースに解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して BotService リソースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクを軽減できます。 | DeployIfNotExists、Disabled | 1.0.0 |
キャッシュ
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Cache for Redis でパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cache for Redis が露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって Azure Cache for Redis の露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| SSL ポート以外を無効にするように Azure Cache for Redis を構成する | Azure Cache for Redis への SSL 接続のみを有効にします。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Modify、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Cache for Redis を構成する | Azure Cache for Redis リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これは、データ漏えいのリスクからキャッシュを保護するのに役立ちます。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Cache for Redis を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cache for Redis を解決することができます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Cache for Redis を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/redis/privateendpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
CDN
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Front Door プロファイルでは、マネージド WAF ルールとプライベート リンクをサポートする Premium レベルを使用する必要がある | Azure Front Door Premium では、Azure マネージド WAF ルールと、サポートされている Azure 配信元へのプライベート リンクがサポートされています。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door Standard と Premium では、最小 TLS バージョン 1.2 が実行されている必要があります | バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントからカスタム ドメインがアクセスされるようにすることで、セキュリティが強化されます。 1.2 未満のバージョンの TLS は脆弱で、最新の暗号化アルゴリズムがサポートされていないため、使用は推奨されません。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door Premium と Azure Storage Blob または Azure App Service との間のプライベート接続をセキュリティで保護する | プライベート リンクを使用すると、Azure Storage Blob や Azure App Service がインターネットに公開されずに、Azure バックボーン ネットワークを介した AFD Premium と Azure Storage Blob または Azure App Service との間のプライベート接続が保証されます。 | Audit、Disabled | 1.0.0 |
ChangeTrackingAndInventory
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Linux Arc 対応マシンを構成する | 指定したデータ収集ルールに Linux Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Linux Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Linux Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux Virtual Machines を構成する | 指定したデータ収集ルールに Linux 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VM を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux VMSS を構成する | 指定したデータ収集ルールに Linux 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VMSS を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Windows Arc 対応マシンを構成する | 指定したデータ収集ルールに Windows Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Windows Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Windows Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows Virtual Machines を構成する | 指定したデータ収集ルールに Windows 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VM を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows VMSS を構成する | 指定したデータ収集ルールに Windows 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VMSS を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
Cognitive Services
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Cognitive Services アカウントでカスタマー マネージド キーによるデータ暗号化を有効にする必要がある | 規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用して、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 カスタマー マネージド キーの詳細については、https://go.microsoft.com/fwlink/?linkid=2121321 をご覧ください。 | Audit、Deny、Disabled | 2.1.0 |
| Cognitive Services アカウントではマネージド ID を使用する必要がある | マネージド ID を Cognitive Service アカウントに割り当てると、安全な認証を確実に行うことができます。 この ID は、この Cognitive Service アカウントが、資格情報を管理しなくても、安全な方法で Azure Key Vault などの他の Azure サービスと通信するために使用されます。 | Audit、Deny、Disabled | 1.0.0 |
| Cognitive Services アカウントで顧客所有のストレージを使用する必要がある | Cognitive Services の保存データは、顧客所有のストレージを使用して制御します。 顧客所有のストレージの詳細については、https://aka.ms/cogsvc-cmk を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| ローカル認証方法を無効にするように Cognitive Services アカウントを構成する | ローカル認証方法を無効にして、Cognitive Services アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/cs/auth を参照してください。 | Modify、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Cognitive Services アカウントを構成する | Cognitive Services リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Disabled、Modify | 3.0.0 |
| プライベート DNS ゾーンを使用するように Cognitive Services アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Cognitive Services アカウントに解決されるようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2110097 を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Cognitive Services アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | DeployIfNotExists、Disabled | 3.0.0 |
Compute
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 許可されている仮想マシン サイズ SKU | このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 | 拒否 | 1.0.1 |
| ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
| Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
| Azure Site Recovery を使用してレプリケーションを有効にし、仮想マシンでのディザスター リカバリーを構成する | ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含める/除外することができます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | DeployIfNotExists、Disabled | 2.1.0 |
| プライベート DNS ゾーンを使用するように、ディスク アクセス リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、マネージド ディスクに解決されます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用してディスク アクセス リソースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをディスク アクセス リソースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する | マネージド ディスク リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Modify、Disabled | 2.0.0 |
| Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ | このポリシーでは、VM にマルウェア対策の拡張機能が構成されていない場合に、既定の構成で Microsoft IaaSAntimalware 拡張機能をデプロイします。 | deployIfNotExists | 1.1.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Audit、Disabled | 2.0.0 |
| マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 2.0.0 |
| Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
| インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
| OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 3.0.0 |
| ディスクまたはスナップショットにエクスポートまたはアップロードするときに、認証要件を使用してデータを保護します。 | エクスポート/アップロード URL を使用すると、ユーザーが Azure Active Directory に ID を持ち、データをエクスポート/アップロードするために必要なアクセス許可を持っているかどうかを確認します。 aka.ms/DisksAzureADAuth を参照してください。 | Modify、Disabled | 1.0.0 |
| Virtual Machine Scale Sets で自動 OS イメージ パッチ適用が必要 | このポリシーは、Virtual Machine Scale Sets での自動 OS イメージ パッチ適用を有効にし、最新のセキュリティ修正プログラムを毎月安全に適用することによって、常に Virtual Machines を保護します。 | deny | 1.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
コンテナー アプリ
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Container Apps で認証を有効にする必要がある | Container Apps 認証は、匿名の HTTP 要求が Container App に到達するのを防いだり、トークンがあるものを Container App への到達前に認証したりできる機能です | AuditIfNotExists、Disabled | 1.0.1 |
| Container App 環境ではネットワーク インジェクションを使用する必要がある | Container Apps 環境では、以下のために仮想ネットワーク インジェクションを使用する必要があります。1. Container Apps をパブリック インターネットから分離する。2. オンプレミスまたは他の Azure 仮想ネットワークにあるリソースとのネットワーク統合を有効にする。3. 環境との間で流れるネットワーク トラフィックをより細かく制御できるようにする。 | Audit, Disabled, Deny | 1.0.2 |
| Container App はボリューム マウントを使用して構成する必要がある | 永続的なストレージ容量を確実に利用できるように、Container Apps に対してボリューム マウントの使用を強制します。 | Audit、Deny、Disabled | 1.0.1 |
| Container Apps 環境ではパブリック ネットワーク アクセスを無効にする必要がある | 内部ロード バランサーを介して Container Apps 環境を公開することにより、公衆ネットワーク アクセスを無効にしてセキュリティを向上させます。 これにより、パブリック IP アドレスが不要になり、環境内のすべての Container Apps へのインターネット アクセスが遮断されます。 | Audit、Deny、Disabled | 1.0.1 |
| Container Apps では外部ネットワーク アクセスを無効にする必要がある | 内部専用イングレスを強制することによって、Container Apps への外部ネットワーク アクセスを無効にします。 これにより、Container Apps の受信通信は、Container Apps 環境内の呼び出し元に限定されます。 | Audit、Deny、Disabled | 1.0.1 |
| コンテナー アプリには HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 "allowInsecure" を無効にすると、Container Apps で要求が HTTP 接続から HTTPS 接続に自動的にリダイレクトされます。 | Audit、Deny、Disabled | 1.0.1 |
| コンテナー アプリに対してマネージド ID を有効にする必要がある | マネージド ID を適用すると、Container Apps では、Azure AD 認証をサポートするすべてのリソースに対して安全に認証できるようになります | Audit、Deny、Disabled | 1.0.1 |
コンテナー インスタンス
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Container Instance コンテナー グループを仮想ネットワークにデプロイする必要がある | Azure 仮想ネットワークを使用して、コンテナー間の通信をセキュリティで保護します。 仮想ネットワークを指定すると、仮想ネットワーク内のリソースが相互に安全かつプライベートに通信できるようになります。 | Audit, Disabled, Deny | 2.0.0 |
| Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit, Disabled, Deny | 1.0.0 |
| コンテナー グループの診断設定を Log Analytics ワークスペースに構成する | コンテナー インスタンスに診断設定をデプロイし、この診断設定のないコンテナー インスタンスが作成または更新された場合に、Log Analytics ワークスペースにリソース ログをストリームします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Container Instances
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンテナー グループの診断を Log Analytics ワークスペースに構成する | 指定された Log Analytics workspaceId および workspaceKey のフィールドがないコンテナー グループが作成または更新された場合に、これらを追加します。 このポリシーが適用される前に作成されたコンテナー グループのフィールドは、それらのリソース グループが変更されるまで変更されません。 | 追加、無効化 | 1.0.0 |
Container Registry
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンテナー レジストリを構成して、匿名認証を無効にする | 認証されていないユーザーがデータにアクセスできないように、レジストリに対する匿名プルを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.0 |
| ARM 対象ユーザー トークン認証が無効になるようコンテナー レジストリを構成する。 | レジストリへの認証のために Azure Active Directory ARM 対象ユーザー トークンを無効にします。 認証には、Azure Container Registry (ACR) の対象ユーザー トークンのみが使用されます。 これにより、レジストリで使用するためのトークンのみを認証に使用できるようになります。 ARM 対象ユーザー トークンを無効にしても、管理者ユーザーまたはスコープ付きアクセス トークンの認証には影響しません。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.0 |
| コンテナー レジストリを構成して、ローカルの管理者アカウントを無効にする | レジストリの管理者アカウントを無効にして、ローカル管理者がアクセスできないようにします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.1 |
| パブリック ネットワーク アクセスが無効になるようにコンテナー レジストリを構成する | Container Registry リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link。 | Modify、Disabled | 1.0.0 |
| リポジトリ スコープのアクセス トークンを無効にするようにコンテナー レジストリを構成する | トークンを使用してリポジトリにアクセスできないように、レジストリのリポジトリ スコープのアクセス トークンを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するようにコンテナー レジストリを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Container Registry を解決するために、仮想ネットワークにリンクします。 詳細情報: https://aka.ms/privatednszone および https://aka.ms/acr/private-link。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート エンドポイントを使用してコンテナー レジストリを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Premium Container Registry リソースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細情報: https://aka.ms/privateendpoints および https://aka.ms/acr/private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
| コンテナー レジストリでは、匿名認証が無効になっている必要がある | 認証されていないユーザーがデータにアクセスできないように、レジストリに対する匿名プルを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| コンテナー レジストリでは、ARM 対象ユーザー トークン認証を無効にする必要がある。 | レジストリへの認証のために Azure Active Directory ARM 対象ユーザー トークンを無効にします。 認証には、Azure Container Registry (ACR) の対象ユーザー トークンのみが使用されます。 これにより、レジストリで使用するためのトークンのみを認証に使用できるようになります。 ARM 対象ユーザー トークンを無効にしても、管理者ユーザーまたはスコープ付きアクセス トークンの認証には影響しません。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| コンテナー レジストリではエクスポートを無効にする必要があります | エクスポートを無効にすると、データプレーン (' docker pull ') を介してのみレジストリ内のデータにアクセスできるようになるため、セキュリティが強化されます。 'acr import' または ' acr transfer ' を使用して、レジストリからデータを移動することはできません。 エクスポートを無効にするには、公衆ネットワーク アクセスを無効にする必要があります。 詳細については、https://aka.ms/acr/export-policy を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| コンテナー レジストリでは、ローカル管理者アカウントが無効になっている必要がある | レジストリの管理者アカウントを無効にして、ローカル管理者がアクセスできないようにします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| コンテナー レジストリでは、リポジトリ スコープのアクセス トークンが無効になっている必要がある | トークンを使用してリポジトリにアクセスできないように、レジストリのリポジトリ スコープのアクセス トークンを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| コンテナー レジストリにはプライベート リンクをサポートする SKU が必要である | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなくコンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、および https://aka.ms/acr/vnet を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリでキャッシュ ルールの作成を禁止する必要がある | Azure コンテナー レジストリのキャッシュ ルールの作成を無効にして、キャッシュ プルを介したプルを防ぎます。 詳細については、https://aka.ms/acr/cache を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| コンテナー レジストリに対してパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットにコンテナー レジストリが露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、コンテナー レジストリ リソースの公開を制限することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link。 | Audit、Deny、Disabled | 1.0.0 |
Cosmos DB
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Cosmos DB アカウントは、最後のアカウント キーの再生成以降に許可される最大日数を超えることはできません。 | データの保護を強化するには、指定された時間内にキーを再生成してください。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Cosmos DB が許可されている場所 | このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | [parameters('policyEffect')] | 1.1.0 |
| Azure Cosmos DB キー ベースのメタデータ書き込みアクセスを無効にする必要がある | このポリシーを使用すると、すべての Azure Cosmos DB アカウントでキー ベースのメタデータ書き込みアクセスを無効にすることができます。 | append | 1.0.0 |
| Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のスループットを制限する必要がある | このポリシーを使用すると、Azure Cosmos DB データベースとコンテナーをリソースプロバイダーを介して作成するときに、組織で指定できる最大スループットを制限できます。 自動スケーリング リソースの作成をブロックします。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| ローカル認証を無効にするように Cosmos DB データベース アカウントを構成する | ローカル認証方法を無効にして、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Modify、Disabled | 1.1.0 |
| 公衆ネットワーク アクセスを無効にするように CosmosDB アカウントを構成する | CosmosDB リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Modify、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するように CosmosDB アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、CosmosDB アカウントを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
| プライベート エンドポイントを使用して CosmosDB アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを CosmosDB アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Cosmos DB アカウントの Advanced Threat Protection のデプロイ | このポリシーを使用して、Cosmos DB アカウント全体で Advanced Threat Protection を有効にすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
カスタム プロバイダー
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| カスタム プロバイダーの関連付けのデプロイ | 選択したリソースの種類を指定したカスタム プロバイダーに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 | deployIfNotExists | 1.0.0 |
Data Box
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある | デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Box ジョブは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要がある | Azure Data Box に使用するデバイスのロック解除パスワードの暗号化は、カスタマー マネージド キーを使用して管理してください。 また、デバイスの準備とデータのコピーを自動化する目的で、デバイスのロック解除パスワードに対する Data Box サービスのアクセスを管理する際にも、カスタマー マネージド キーが役立ちます。 デバイス上の保存データ自体は、あらかじめ Advanced Encryption Standard 256 ビット暗号化を使用して暗号化されており、また、デバイスのロック解除パスワードも既定で Microsoft マネージド キーを使用して暗号化されています。 | Audit、Deny、Disabled | 1.0.0 |
Data Factory
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Data Factory パイプラインは許可されたドメインとのみ通信する必要がある | データとトークンの流出を防ぐために、Azure Data Factory に通信を許可するドメインを設定します。 注: パブリック プレビュー段階では、このポリシーについてのコンプライアンスは報告されません。ポリシーを Data Factory に適用するには、ADF Studio でアウトバウンド規則の機能を有効にしてください。 詳細については、https://aka.ms/data-exfiltration-policy を参照してください。 | Deny、Disabled | 1.0.0-preview |
| Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Data Factory 統合ランタイムのコア数を制限する必要がある | リソースとコストを管理するために、統合ランタイムのコア数を制限します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory のリンク サービス リソースの種類が許可リストに含まれている必要がある | Azure Data Factory のリンク サービスの種類の許可リストを定義します。 許可されるリソースの種類を制限することで、データ移動の境界を制御できます。 たとえば、分析用に Data Lake Storage Gen1 および Gen2 を使用する Blob Storage のみを許可するようにスコープを制限したり、リアルタイム クエリのために SQL および Kusto アクセスのみを許可するようにスコープを制限したりします。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Factory のリンク サービスでは、Key Vault を使用してシークレットを保存する必要がある | シークレット (接続文字列など) を安全に管理できるようにするには、リンク サービスでシークレットをインラインで指定するのではなく、Azure Key Vault を使用してシークレットを提供するようにユーザーに要求します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory のリンク サービスでは、システム割り当てマネージド ID 認証を使用する必要がある (サポートされている場合) | リンク サービスを介してデータ ストアと通信するときに、システム割り当てマネージド ID を使用すると、パスワードや接続文字列などの安全性の低い資格情報の使用を回避できます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory では、ソース管理に Git リポジトリを使用する必要がある | Git 統合で開発データ ファクトリのみを構成します。 テスト環境と運用環境に対する変更は CI/CD を介してデプロイする必要があり、Git 統合を行うべきではありません。 このポリシーを QA、テスト、運用データ ファクトリに適用しないでください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするようにデータ ファクトリを構成する | データ ファクトリのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | Modify、Disabled | 1.0.0 |
| Azure Data Factory に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する | プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Data Factory へのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Data Factory でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| データ ファクトリのプライベート エンドポイントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| Azure Data Factory のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Factory へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory 上の SQL Server Integration Services 統合ランタイムでは仮想ネットワークに参加する必要がある | Azure Virtual Network のデプロイでは、Azure Data Factory 上の SQL Server Integration Services 統合ランタイムのための強化されたセキュリティと分離、サブネット、アクセス制御ポリシーなど、アクセスをさらに制限するための機能を提供します。 | Audit、Deny、Disabled | 2.3.0 |
Data Lake
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Data Lake Store アカウントにおける暗号化が必要 | このポリシーは、すべての Data Lake Store アカウントで暗号化を有効にします | deny | 1.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
デスクトップ仮想化
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Virtual Desktop ホストプールでは公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Azure Virtual Desktop サービスへのアクセスがパブリック インターネットに公開されなくなるため、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Virtual Desktop ホストプールでは、セッション ホストでのみ公衆ネットワーク アクセスを無効にする必要がある | Azure Virtual Desktop ホストプールのセッション ホストの公衆ネットワーク アクセスを無効にし、エンド ユーザーのパブリック アクセスは許可すると、パブリック インターネットへの公開が制限されるため、セキュリティが向上します。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Virtual Desktop サービスではプライベート リンクを使用する必要がある | Azure Virtual Desktop リソースで Azure Private Link を使用すると、セキュリティが向上し、データを安全に保つことができます。 プライベート リンクの詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Virtual Desktop ワークスペースでは公衆ネットワーク アクセスを無効にする必要がある | Azure Virtual Desktop ワークスペース リソースの公衆ネットワーク アクセスを無効にして、フィードにパブリック インターネット経由でアクセスできないようにします。 プライベート ネットワーク アクセスのみを許可することで、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するよう Azure Virtual Desktop ホストプール リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークにリンクして、Azure Virtual Desktop リソースに解決します。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Virtual Desktop ホストプールを構成する | Azure Virtual Desktop ホストプール リソースのセッション ホストとエンド ユーザーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| セッション ホストのみの公衆ネットワーク アクセスを無効にするように Azure Virtual Desktop ホストプールを構成する | Azure Virtual Desktop ホストプールのセッション ホストの公衆ネットワーク アクセスを無効にしますが、エンド ユーザーのパブリック アクセスは許可します。 これにより、ユーザーは引き続き AVD サービスにアクセスでき、セッション ホストはプライベート ルート経由でのみアクセスできます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Virtual Desktop ホストプールを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Virtual Desktop リソースにマッピングすることで、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するよう Azure Virtual Desktop ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークにリンクして、Azure Virtual Desktop リソースに解決します。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Virtual Desktop ワークスペースを構成する | Azure Virtual Desktop ワークスペース リソースのパブリック ネットワーク アクセスを無効にして、フィードにパブリック インターネット経由でアクセスできないようにします。 これにより、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Virtual Desktop ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Virtual Desktop リソースにマッピングすることで、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
DevCenter
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Microsoft Dev Box プールでは、Microsoft Hosted Network を使用しないでください。 | プール リソースを作成するときに、Microsoft Hosted Network の使用を禁止します。 | Audit、Deny、Disabled | 1.0.0-preview |
ElasticSan
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ElasticSan ではパブリック ネットワーク アクセスを無効にする必要がある | ElasticSan の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 | Audit、Deny、Disabled | 1.0.0 |
| ElasticSan ボリューム グループでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、VolumeGroup の残りの部分の暗号化を管理します。 既定では、顧客データはプラットフォーム マネージド キーで暗号化されますが、規制コンプライアンス標準を満たすには、一般的に CMK が必要です。 カスタマー マネージド キーを使用すると、自分が作成および所有し、交換や管理を含め、完全に制御し責任を負う Azure Key Vault キーでデータを暗号化できます。 | Audit、Disabled | 1.0.0 |
| ElasticSan ボリューム グループではプライベート エンドポイントを使用する必要がある | プライベート エンドポイントを使用すると、管理者は、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをボリューム グループにマッピングすることで、管理者はデータ漏えいのリスクを軽減できます。 | Audit、Disabled | 1.0.0 |
Event Grid
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Event Grid ドメインでは公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Event Grid ドメインでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Grid ドメインの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid 名前空間 MQTT ブローカーでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid 名前空間にプライベート エンドポイントをマッピングすると、データ漏えいのリスクを防止できます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Event Grid 名前空間トピック ブローカーでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid 名前空間にプライベート エンドポイントをマッピングすると、データ漏えいのリスクを防止できます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Event Grid 名前空間で、公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Grid パートナー名前空間の認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Event Grid トピックでは、公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Event Grid トピックでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Grid トピックの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | |
| ローカル認証を無効にするように Azure Event Grid ドメインを構成する | ローカル認証方法を無効にして、Azure Event Grid ドメインの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Event Grid 名前空間 MQTT ブローカーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Event Grid 名前空間を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Event Grid パートナー名前空間を構成する | ローカル認証方法を無効にして、Azure Event Grid パートナー名前空間の認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Event Grid トピックを構成する | ローカル認証方法を無効にして、Azure Event Grid トピックの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
| デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid ドメインを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| デプロイ - プライベート エンドポイントを使用して Azure Event Grid ドメインを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid トピックを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| デプロイ - プライベート エンドポイントを使用して Azure Event Grid トピックを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid ドメインを構成する | Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid トピックを構成する | Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
イベント ハブ
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| イベント ハブの名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある | イベント ハブ クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります | Audit、Deny、Disabled | 1.0.1 |
| イベント ハブ インスタンスの承認規則を定義する必要があります | 最小特権のアクセスを付与する承認規則がイベント ハブ エンティティに存在することを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Hub 名前空間の認証で Microsoft Entra ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-eh を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| ローカル認証を無効にするように Azure イベント ハブ名前空間を構成する | ローカル認証方法を無効にして、Azure Event Hub 名前空間の認証で Microsoft Entra ID のみが要求されるようにします。 詳細については、https://aka.ms/disablelocalauth-eh を参照してください。 | Modify、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するようにイベント ハブ名前空間を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、イベント ハブ名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用してイベント ハブ名前空間を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間ではパブリック ネットワーク アクセスを無効にする必要があります | Azure イベント ハブでは、パブリック ネットワーク アクセスが無効になっている必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Event Hub の名前空間では二重暗号化を有効にする必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Fluid Relay
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Fluid Relay では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Fluid Relay サーバーの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 カスタマー マネージド キーを使用すると、自分が作成および所有し、交換や管理を含め、完全に制御し責任を負う Azure Key Vault キーでデータを暗号化できます。 詳細については、https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys をご覧ください。 | Audit、Disabled | 1.0.0 |
全般
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 許可される場所 | このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 | deny | 1.0.0 |
| リソース グループが許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | deny | 1.0.0 |
| 許可されるリソースの種類 | このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 | deny | 1.0.0 |
| リソースの場所がリソース グループの場所と一致することの監査 | リソースの場所がそのリソース グループの場所と一致することを監査します | 監査 | 2.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| サブスクリプションを構成してプレビュー機能を設定する | このポリシーは、既存のサブスクリプションのプレビュー機能を評価します。 サブスクリプションを修復して、新しいプレビュー機能に登録できます。 新しいサブスクリプションが自動的に登録されることはありません。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| リソースの種類の削除を許可しない | このポリシーを使用すると、組織が deny アクションの効果を利用して delete 呼び出しをブロックすることで誤削除を防止するリソースの種類を指定できます。 | DenyAction、Disabled | 1.0.1 |
| M365 リソースを許可しない | M365 リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| MCPP リソースを許可しない | MCPP リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| 使用コストのリソースを除外する | このポリシーを使用すると、使用量コストリソースを除外できます。 使用コストには、使用状況に基づいて課金される従量制課金ストレージや Azure リソースなどが含まれます。 | Audit、Deny、Disabled | 1.0.0 |
| 許可されないリソースの種類 | 環境にデプロイできるリソースの種類を制限します。 リソースの種類を制限することで、環境の複雑さと攻撃対象領域を削減しつつ、コストの管理にも役立てるとができます。 コンプライアンス対応の結果は、準拠していないリソースについてのみ表示されます。 | Audit、Deny、Disabled | 2.0.0 |
ゲスト構成
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: 仮想マシンでゲスト構成の割り当てを有効にするためにユーザー割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている仮想マシンに、ユーザー割り当てマネージド ID が追加されます。 ユーザー割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
| [プレビュー]: ローカル ユーザーを無効にするように Windows Server を構成する。 | Windows Server でローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 このポリシーにより、AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Windows Server に確実にアクセスできるようになるため、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: 拡張セキュリティ更新プログラムを Windows Server 2012 Arc マシンにインストールする必要がある。 | Windows Server 2012 Arc マシンには、Microsoft によってリリースされたすべての拡張セキュリティ更新プログラムがインストールされている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Linux マシンは Docker ホスト向けの Azure セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホスト向けの Azure セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていません。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: OMI がインストールされている Linux マシンには、バージョン 1.6.8-1 以降が必要である | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Nexus コンピューティング マシンはセキュリティ ベースラインを満たす必要がある | 監査に Azure Policy ゲスト構成エージェントを利用します。 このポリシーにより、マシンは Nexus コンピューティング セキュリティ ベースラインに確実に準拠でき、さまざまな脆弱性や安全でない構成に対してマシンを強化するように設計されたさまざまな推奨事項が含まれます (Linux のみ)。 | AuditIfNotExists、Disabled | 1.1.0-preview |
| [プレビュー]: Windows マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについてマシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 指定されたアプリケーションがインストールされていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 指定されたアプリケーションがインストールされている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
| Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| Windows マシンのネットワーク接続を監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| DSC 構成が準拠していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus から、マシンの DSC 構成が準拠していないという情報が返された場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定されたサービスがインストールされて '実行中' になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-Service の結果に、ポリシー パラメーターの指定と一致する状態のサービス名が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| Windows Serial Console が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| 指定されたドメインに参加していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定されたタイム ゾーンに設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
| 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 指定された Windows PowerShell 実行ポリシーのない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy によって、ポリシー パラメーターで選択された値以外の値が返された場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
| 指定された Windows PowerShell モジュールがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
| パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
| 指定されたアプリケーションがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のどのレジストリ パスにも見つからない場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
| Administrators グループに余分なアカウントがある Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定した日数以内に再起動されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定されたアプリケーションがインストールされている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のいずれかのレジストリ パスに見つかった場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
| Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 再起動が保留中の Windows VM の監査 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| ローカル ユーザーを無効にするように Linux サーバーを構成する。 | Linux サーバーでローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 これにより、このポリシーでは AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Linux サーバーにアクセスできるようになり、全体的なセキュリティ態勢が向上します。 | DeployIfNotExists、Disabled | 1.3.0-preview |
| Windows マシンにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する | Windows マシンにセキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当てを作成します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Windows マシンでタイム ゾーンを構成する。 | このポリシーは、指定されたタイム ゾーンを Windows 仮想マシンに設定するためのゲスト構成の割り当てを作成します。 | deployIfNotExists | 2.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| Linux マシンには Azure Arc 上に Log Analytics エージェントがインストールされている必要がある | Azure Arc 対応 Linux サーバー上に Log Analytics エージェントがインストールされていない場合、マシンは準拠していません。 | AuditIfNotExists、Disabled | 1.1.0 |
| Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| Linux マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.1 |
| Linux マシンでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Linux サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| Windows サーバーでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Windows サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| ゲスト構成の割り当てのプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、仮想マシンのゲスト構成へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 "EnablePrivateNetworkGC" タグが割り当てられていない仮想マシンはコンプライアンス違反となります。 このタグにより、仮想マシンのゲスト構成に対して、プライベート接続によるセキュリティで保護された通信が適用されます。 プライベート接続では、既知のネットワークを送信元とするトラフィックにアクセスが限定され、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスが禁止されます。 | Audit、Deny、Disabled | 1.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある | 新たに現れるマルウェアから適切に保護するには、新たに現れたマルウェアを考慮するために、Windows Defender 保護署名を定期的に更新する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある | 新たに現れるマルウェアから適切に保護するために、Windows マシンで Windows Defender のリアルタイム保護を有効にする必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Windows マシンには Azure Arc 上に Log Analytics エージェントがインストールされている必要がある | Azure Arc が有効な Windows サーバー上に Log Analytics エージェントがインストールされていない場合、マシンは準拠していません。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows マシンは [管理用テンプレート - コントロール パネル] の要件を満たしている必要がある | Windows マシンには、入力の個人用設定とロック画面の有効化防止について、カテゴリ [管理用テンプレート - コントロール パネル] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [管理用テンプレート - MSS (レガシ)] の要件を満たしている必要がある | Windows マシンには、自動ログオン、スクリーン セーバー、ネットワークの動作、安全な DLL、イベント ログについて、カテゴリ [管理用テンプレート - MSS (レガシ)] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [管理用テンプレート - ネットワーク] の要件を満たしている必要がある | Windows マシンには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決について、カテゴリ [管理用テンプレート - ネットワーク] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [管理用テンプレート - システム] の要件を満たしている必要がある | Windows マシンには、管理エクスペリエンスおよび Remote Assist を制御する設定について、カテゴリ [管理用テンプレート - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | Windows コンピューターでは、空白のパスワードとゲスト アカウント状態でのローカル アカウントの使用を制限するため、[セキュリティ オプション - アカウント] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | Windows マシンには、セキュリティ監査をログに記録できない場合に監査ポリシー サブカテゴリを強制的に適用してシャットダウンすることについて、カテゴリ [セキュリティ オプション - 監査] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - デバイス] の要件を満たしている必要がある | Windows マシンには、ログオンなしのドッキング解除、プリント ドライバーのインストール、メディアのフォーマットと取り出しについて、カテゴリ [セキュリティ オプション - デバイス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - Microsoft ネットワーク クライアント] の要件を満たしている必要がある | Windows コンピューターには、Microsoft ネットワーク クライアントおよび SMB v1 について、カテゴリ [セキュリティ オプション - Microsoft ネットワーク クライアント] で設定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | Windows コンピューターでは、SMB v1 サーバーを無効にするため、[セキュリティ オプション - Microsoft ネットワーク サーバー] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | Windows マシンには、匿名ユーザーやローカル アカウントへのアクセスと、レジストリへのリモート アクセスを含むことについて、カテゴリ [セキュリティ オプション - ネットワーク アクセス] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | すべてのドライブおよびフォルダーのフロッピー コピーとアクセスを可能にするため、[セキュリティ オプション - 回復コンソール] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - シャットダウン] の要件を満たしている必要がある | Windows マシンには、ログオンなしのシャットダウンと仮想マシン ページファイルのクリアについて、カテゴリ [セキュリティ オプション - シャットダウン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - システム オブジェクト] の要件を満たしている必要がある | Windows マシンには、Windows システムではないサブシステムのための大文字と小文字の区別をしないこと、および内部システム オブジェクトのアクセス許可について、カテゴリ [セキュリティ オプション - システム オブジェクト] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - システム設定] の要件を満たしている必要がある | Windows マシンには、SRP およびオプションのサブシステム用の実行可能ファイルに関する証明書の規則について、カテゴリ [セキュリティ オプション - システム設定] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | Windows マシンには、管理者用のモード、昇格時のプロンプトの動作、ファイル仮想化とレジストリ書き込みのエラーについて、カテゴリ [セキュリティ オプション - ユーザー アカウント制御] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | Windows マシンには、パスワードの履歴、有効期間、長さ、複雑さ、暗号化を元に戻せる状態での保存について、カテゴリ [セキュリティ オプション - アカウント ポリシー] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - アカウント ログオン] の要件を満たしている必要がある | Windows マシンには、資格情報の検証およびその他のアカウント ログオン イベントの監査について、カテゴリ [システム監査ポリシー - アカウント ログオン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | Windows マシンには、アプリケーション、セキュリティ、ユーザー グループ管理、その他の管理イベントを監査することについて、カテゴリ [システム監査ポリシー - アカウント管理] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | Windows マシンには、DPAPI、プロセスの作成と終了、RPC イベント、PNP アクティビティを監査することについて、カテゴリ [システム監査ポリシー - 詳細追跡] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - ログオン/ログオフ] の要件を満たしている必要がある | Windows マシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオンとログオンのイベントの監査について、カテゴリ [システム監査ポリシー - ログオン/ログオフ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - オブジェクト アクセス] の要件を満たしている必要がある | Windows マシンには、ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、その他の種類のシステムに関する監査について、カテゴリ [システム監査ポリシー - オブジェクト アクセス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | Windows マシンには、システム監査ポリシーの監査について、カテゴリ [システム監査ポリシー - ポリシーの変更] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | Windows マシンには、重要でない特権およびその他の特権の使用に関する監査について、カテゴリ [システム監査ポリシー - 特権の使用] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [システム監査ポリシー - システム] の要件を満たしている必要がある | Windows マシンには、IPsec ドライバー、システムの整合性、システム拡張、状態変更、その他のシステム イベントの監査について、カテゴリ [システム監査ポリシー - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | ローカル ログオン、RDP、ネットワークからのアクセス、その他多くのユーザー アクティビティを許可するため、Windows マシンでは、[ユーザー権利の割り当て] カテゴリに指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [Windows コンポーネント] の要件を満たしている必要がある | Windows マシンには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、Windows のその他の動作について、カテゴリ [Windows コンポーネント] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 および 2012 R2 ではサポートされていません。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows マシンで、スケジュール化されたスキャンを毎日実行するように Windows Defender をスケジュールする必要がある | マルウェアの迅速な検出を徹底し、システムへの影響を最小限に抑えるために、Windows Defender を備えた Windows マシンで毎日のスキャンをスケジュール設定することをお勧めします。 Windows Defender がサポートされ、デバイスにプレインストールされていることと、ゲスト構成の前提条件がデプロイされていることを確認してください。 これらの要件が満たされていないと、評価結果が不正確になる可能性があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.0 |
| Windows マシンで既定の NTP サーバーを使用する必要がある | すべての Windows マシンの既定の NTP サーバーとして "time.windows.com" をセットアップして、すべてのシステムにわたるログのシステム クロックがすべて同期しているようにします。このポリシーでは、ゲスト構成の前提条件がポリシー割り当てスコープにデプロイされている必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.1.1 |
HDInsight
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure HDInsight クラスターを仮想ネットワークに挿入する必要がある | Azure HDInsight クラスターを仮想ネットワークに挿入すると、HDInsight の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成を制御できます。 | Audit, Disabled, Deny | 1.0.0 |
| Azure HDInsight クラスターでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、Azure HDInsight クラスターの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/hdi.cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある | ホストでの暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある | Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure HDInsight ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/hdi.pl を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure HDInsight クラスターを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure HDInsight クラスターに解決されます。 詳細については、https://aka.ms/hdi.pl を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを指定して Azure HDInsight クラスターを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/hdi.pl を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Health Bot
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Health Bot では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | Health Bot のデータの保存時の暗号化を管理するには、カスタマー マネージド キー (CMK) を使用します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://docs.microsoft.com/azure/health-bot/cmk を参照してください | Audit、Disabled | 1.0.0 |
Health Data Services のワークスペース
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Health Data Services ワークスペースではプライベート リンクを使用する必要がある | Health Data Services ワークスペースには、承認済みプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/healthcareapisprivatelink を参照してください。 | Audit、Disabled | 1.0.0 |
Healthcare API
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| CORS で FHIR Service へのアクセスをすべてのドメインには許可しない | クロス オリジン リソース共有 (CORS) で FHIR Service へのアクセスをすべてのドメインに許可することは避けます。 FHIR Service を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 | audit、Audit、disabled、Disabled | 1.1.0 |
| DICOM サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Health Data Services DICOM サービスに格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | Audit、Disabled | 1.0.0 |
| FHIR サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、Azure Health Data Services FHIR サービスに格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | Audit、Disabled | 1.0.0 |
モノのインターネット (IoT)
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure IoT Hub での保存データの暗号化には、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して IoT Hub の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 カスタマー マネージド キーは、IoT Hub の作成時に構成する必要があります。 カスタマー マネージド キーを構成する方法の詳細については、https://aka.ms/iotcmk を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: IoT Hub デバイス プロビジョニング サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある | カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure Device Update アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して Azure Device Update の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 詳細については、https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Azure Device Update for IoT Hub アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Device Update for IoT Hub アカウントにマッピングすることにより、データ漏えいのリスクが軽減されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure IoT Hub では、サービス API に対してローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure IoT Hub のサービス API 認証で Azure Active Directory ID のみを要求することによりセキュリティが向上します。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Device Update for IoT Hub アカウントを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、Device Update for IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、Device Update for IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Device Update for IoT Hub アカウントを構成する | Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより、Device Update for IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Device Update for IoT Hub アカウントを構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーにより、Device Update for IoT Hub 用にプライベート エンドポイントがデプロイされ、Device Update for IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスがこのリソースに到達できるようになります。 | DeployIfNotExists、Disabled | 1.1.0 |
| ローカル認証を無効にするように Azure IoT Hub を構成する | ローカル認証方法を無効にして、Azure IoT Hub の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように IoT Hub デバイス プロビジョニング インスタンスを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、IoT Hub デバイス プロビジョニング サービス インスタンスを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように IoT Hub Device Provisioning Service インスタンスを構成する | IoT Hub デバイス プロビジョニング インスタンスの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して IoT Hub Device Provisioning Service インスタンスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクを減らすことができます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - プライベート DNS ゾーンを使用するように Azure IoT ハブを構成する | Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| デプロイ - プライベート エンドポイントを持つ Azure IoT ハブを構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT ハブ用にプライベート エンドポイントがデプロイされ、IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Hub に到達できるようにすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - プライベート DNS ゾーンを使用するように IoT Central を構成する | Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Central プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - プライベート エンドポイントを持つ IoT Central を構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT Central 用にプライベート エンドポイントがデプロイされ、IoT Central のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Central に到達できるようにすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
| IoT Central ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、IoT Central アプリケーションにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/iotcentral-network-security-using-pe を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、IoT Hub Device Provisioning Service インスタンスがパブリック インターネット上で公開されないようにすることで、セキュリティが強化されます。 プライベート エンドポイントを作成すると、IoT Hub デバイス プロビジョニング インスタンスの露出を制限できます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure IoT ハブを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| 変更 - パブリック ネットワーク アクセスを無効にするように IoT Central を構成する | 公衆ネットワーク アクセス プロパティを無効にすると、IoT Central へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| IoT Hub ではプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続では、IoT Hub へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | Audit、Disabled | 1.0.0 |
| Azure Device Update for IoT Hub アカウントに対する公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure Device Update for IoT Hub アカウントへのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure IoT Hub の公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Central に対してパブリック ネットワーク アクセスを無効にする必要がある | IoT Central のセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/iotcentral-restrict-public-access の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
Key Vault
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Key Vault マネージド HSM キー コンテナーのキーには有効期限を設定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.1-preview |
| [プレビュー]: Azure Key Vault マネージド HSM キーの残りの日数は有効期限が切れるまでの指定された日数よりも長い必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1-preview |
| [プレビュー]: 楕円曲線暗号を使用する Azure Key Vault マネージド HSM キーに曲線名を指定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 | Audit、Deny、Disabled | 1.0.1-preview |
| [プレビュー]: RSA 暗号を使用する Azure Key Vault マネージド HSM キーにキーの最小サイズを指定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 | Audit、Deny、Disabled | 1.0.1-preview |
| [プレビュー]: Azure Key Vault Managed HSM で公衆ネットワーク アクセスを無効にする必要がある | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Key Vault Managed HSM はプライベート リンクを使用する必要がある | プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Key Vault Managed HSM を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: 証明書は、指定の統合されていない証明機関のいずれかによって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Key Vault マネージド HSM を構成する | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 | Modify、Disabled | 2.0.0-preview |
| [プレビュー]: プライベート エンドポイントを使用して Azure Key Vault マネージド HSM を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Key Vault Managed HSM にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| Azure Key Vault Managed HSM で消去保護が有効になっている必要がある | Azure Key Vault Managed HSM が悪意により削除されると、完全にデータが失われる可能性があります。 組織内の悪意のある内部関係者が、Azure Key Vault Managed HSM の削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除された Azure Key Vault Managed HSM に必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中に Azure Key Vault Managed HSM を消去することはできなくなります。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Key Vault should disable public network access (Azure Key Vault で公衆ネットワーク アクセスを無効にする必要がある) | キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/akvprivatelink を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key Vault では RBAC アクセス許可モデルを使用する必要がある | Key Vault 間で RBAC アクセス許可モデルを有効にします。 詳細については、https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration を参照してください | Audit、Deny、Disabled | 1.0.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| 証明書は、指定の統合された証明機関によって発行される必要がある | Digicert または GlobalSign など、キー コンテナーで証明書を発行できる、Azure と統合された証明機関を指定して組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 証明書は、指定の統合されていない証明機関によって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 証明書には、指定された有効期間アクション トリガーが必要である | 証明書の有効期間アクションを、有効期間の特定の割合でトリガーするか、有効期限から指定した日数前にトリガーするかを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 証明書は、指定された日数内に期限が切れてはいけない | 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 証明書は、許可されたキーの種類を使用する必要がある | 証明書に許可されるキーの種類を制限して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 楕円曲線暗号を使用する証明書には、許可されている曲線名が必要である | キー コンテナーに格納される ECC 証明書に対して許可されている楕円曲線名を管理します。 詳細については、https://aka.ms/akvpolicyをご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| RSA 暗号を使用する証明書に、キーの最小サイズを指定する必要がある | キー コンテナーに格納される RSA 証明書の最小キー サイズを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| プライベート DNS ゾーンを使用するように Azure キー コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、キー コンテナーに解決されるようにします。 詳細については、https://aka.ms/akvprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート エンドポイントを使用して Azure Key Vault を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| ファイアウォールを有効にするようにキー コンテナーを構成する | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 その後、特定の IP 範囲を構成して、それらのネットワークにアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Modify、Disabled | 1.1.1 |
| デプロイ - Azure Key Vault の診断設定を Log Analytics ワークスペースに構成する | リソース ログをストリーミングするための Azure Key Vault の診断設定を、この診断設定を持たないキー コンテナーが作成または更新されたときに、Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 2.0.1 |
| デプロイ - Azure Key Vault Managed HSM で有効にする診断設定をイベント ハブに構成する | Azure Key Vault Managed HSM の診断設定をデプロイして、この診断設定がない Azure Key Vault Managed HSM が作成または更新されたときに地域のイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Key Vault の診断設定をイベント ハブにデプロイする | この診断設定がないキー コンテナーが作成または更新されたときに、Key Vault の診断設定をデプロイして、リージョンのイベント ハブにストリーム配信します。 | DeployIfNotExists、Disabled | 3.0.1 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
| ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある | HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 | Audit、Deny、Disabled | 1.0.1 |
| キーは、特定の暗号化の種類 (RSA または EC) である必要がある | 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| キーには、作成後指定された日数以内にローテーションがスケジュールされることを保証するローテーション ポリシーが含まれている必要があります。 | キーの作成後にローテーションが必要になるまでの最大日数を指定して、組織のコンプライアンス要件を管理します。 | Audit、Disabled | 1.0.0 |
| キーの有効期限には、指定された日数より先の日付を指定する必要がある | キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| キーには最長有効期間を指定する必要がある | キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
| 指定された日数より長くキーをアクティブにすることはできない | キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 | Audit、Deny、Disabled | 1.0.1 |
| 楕円曲線暗号を使用するキーに曲線名を指定する必要がある | 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| RSA 暗号を使用するキーにキーの最小サイズを指定する必要がある | キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある | セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| シークレットにはコンテンツの種類を設定する必要がある | コンテンツの種類のタグは、シークレットの種類 (パスワードや接続文字列など) を識別するのに役立ちます。シークレットが異なれば、ローテーションの要件も異なります。 コンテンツの種類のタグは、シークレットに設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットの有効期限は、指定された日数より先の日付を指定する必要がある | シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| シークレットには最長有効期間を指定する必要がある | キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
| 指定された日数より長くシークレットをアクティブにすることはできない | シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
Kubernetes
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: [イメージの整合性] Kubernetes クラスターでは、表記によって署名されたイメージのみを使用する必要があります | 表記によって署名されたイメージを使用して、イメージが信頼できるソースから取得されるものであり、悪意を持って変更されないようにします。 詳細については、https://aka.ms/aks/image-integrity を参照してください。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: 個々のノードは編集できない | 個々のノードは編集できません。 ユーザーは個々のノードを編集しないでください。 ノード プールを編集してください。 個々のノードを変更すると、設定の不整合、運用上の課題、潜在的なセキュリティ リスクにつながる可能性があります。 | Audit、Deny、Disabled | 1.1.1-preview |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [プレビュー]: Azure Kubernetes Service にイメージの整合性をデプロイする | Image Integrity と Policy の両アドオンを Azure Kubernetes クラスターにデプロイしてください。 詳細については、https://aka.ms/aks/image-integrity を参照してください。 | DeployIfNotExists、Disabled | 1.0.5-preview |
| [プレビュー]: Kubernetes クラスター コンテナー イメージに preStop フックを含める必要がある | ポッドのシャットダウン中にプロセスを正常に終了するには、コンテナー イメージに preStop フックが含まれている必要があります。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Kubernetes クラスター コンテナー イメージに最新のイメージ タグを含めないようにする | コンテナー イメージで Kubernetes の最新のタグを使用しないようにする必要があります。これは、明示的なコンテナー イメージとバージョン管理されたコンテナー イメージを使用して、再現性を確保し、意図しない更新を防ぎ、デバッグとロールバックを容易にするためのベスト プラクティスです。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: イメージのプル シークレットが存在する場合にのみ Kubernetes クラスター コンテナーによってイメージがプルされる必要がある | コンテナーのイメージのプルを制限して ImagePullSecrets の存在を強制し、Kubernetes クラスター内のイメージへの安全で承認されたアクセスを確保します | Audit、Deny、Disabled | 1.1.0-preview |
| [プレビュー]: Kubernetes クラスター サービスでは一意のセレクターを使用する必要がある | 名前空間内のサービスが一意のセレクターを持つようにします。 一意のサービス セレクターを使用すると、名前空間内の各サービスが特定の条件に基づいて一意に識別可能になります。 このポリシーは、Gatekeeper 経由でイングレス リソースを OPA に同期します。 適用する前に、Gatekeeper ポッドのメモリ容量を超えないことを確認します。 パラメーターは、特定の名前空間に適用されますが、すべての名前空間にわたって、その種類のすべてのリソースを同期します。 現在、Kubernetes Service (AKS) のプレビュー段階です。 | Audit、Deny、Disabled | 1.1.1-preview |
| [プレビュー]: Kubernetes クラスターでは、正確なポッド中断バジェットが実装される必要がある | ポッド中断予算の障害を防ぎ、運用ポッドの最小数を確保します。 詳細については、Kubernetes の公式ドキュメントを参照してください。 Gatekeeper データ レプリケーションに依存し、それにスコープされているすべてのイングレス リソースを OPA に同期します。 このポリシーを適用する前に、同期されたイングレス リソースによってメモリ容量が圧迫されないようにします。 パラメーターは特定の名前空間を評価しますが、名前空間間でその種類のすべてのリソースが同期されます。注: 現在、Kubernetes Service (AKS) のプレビュー段階です。 | Audit、Deny、Disabled | 1.1.1-preview |
| [プレビュー]: Kubernetes クラスターでは特定のリソースの種類の作成を制限する必要がある | 特定の Kubernetes リソースの種類を、特定の名前空間にデプロイしないようにします。 | Audit、Deny、Disabled | 2.2.0-preview |
| [プレビュー]: アンチ アフィニティ ルール セットが必要 | このポリシーにより、クラスター内の異なるノードでポッドがスケジュールされます。 アンチアフィニティ ルールを適用することで、いずれかのノードが使用できなくなった場合でも可用性が維持されます。 ポッドは引き続き他のノードで実行され、回復性が向上します。 | Audit、Deny、Disabled | 1.1.1-preview |
| [プレビュー]: AKS 特有のラベルがない | 顧客が AKS 固有のラベルを適用できないようにします。 AKS では、AKS 所有コンポーネントを示すために、kubernetes.azure.com がプレフィックスされたラベルが使用されます。 顧客はこれらのラベルを使用しないでください。 |
Audit、Deny、Disabled | 1.1.1-preview |
| [プレビュー]: 予約済みのシステム プール テイント | CriticalAddonsOnly テイントをシステム プールのみに制限します。 AKS は CriticalAddonsOnly テイントを使用して、お客様のポッドをシステム プールから遠ざけます。 これにより、AKS コンポーネントと顧客ポッドが明確に分離され、CriticalAddonsOnly テイントを許容しない場合に顧客ポッドが削除されるのを防ぐことができます。 | Audit、Deny、Disabled | 1.1.1-preview |
| [プレビュー]: CriticalAddonsOnly テイントをシステム プールのみに制限します。 | ユーザー プールからのユーザー アプリの削除を回避し、ユーザー プールとシステム プール間の懸念事項の分離を維持するには、"CriticalAddonsOnly" テイントをユーザー プールに適用しないようにします。 | Mutate、Disabled | 1.1.0-preview |
| [プレビュー]: Kubernetes クラスター コンテナーの CPU 制限を既定値に設定します (存在しない場合や制限を超えている場合)。 | Kubernetes クラスターでのリソース枯渇攻撃を防ぐためにコンテナーの CPU 制限を設定します。 | Mutate、Disabled | 1.1.0-preview |
| [プレビュー]: Kubernetes クラスター コンテナーのメモリ制限を既定値に設定します (存在しない場合や制限を超えている場合)。 | Kubernetes クラスターでのリソース枯渇攻撃を防ぐためにコンテナーのメモリ制限を設定します。 | Mutate、Disabled | 1.1.0-preview |
| [プレビュー]: PodDisruptionBudget リソースの maxUnavailable ポッドを 1 に設定する | 使用できないポッドの最大値を 1 に設定すると、中断中にアプリケーションまたはサービスを使用できるようになります | Mutate、Disabled | 1.1.0-preview |
| [プレビュー]: init コンテナー内のポッド仕様に readOnlyRootFileSystem が設定されていない場合は true に設定します。 | readOnlyRootFileSystem を true に設定すると、コンテナーがルート ファイルシステムに書き込むのを防ぐことでセキュリティが向上します。 これは Linux コンテナーに対してのみ機能します。 | Mutate、Disabled | 1.1.0-preview |
| [プレビュー]: ポッド仕様の readOnlyRootFileSystem が設定されていない場合は true に設定します。 | readOnlyRootFileSystem を true に設定すると、コンテナーがルート ファイルシステムに書き込まないようにすることでセキュリティが向上します | Mutate、Disabled | 1.1.0-preview |
| Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Azure Arc 対応 Kubernetes クラスターに、Open Service Mesh 拡張機能がインストールされている必要がある | Open Service Mesh 拡張機能は、アプリケーション サービスのセキュリティ、トラフィック管理、および監視に関するすべての標準的なサービス メッシュ機能を提供します。 詳細については、https://aka.ms/arc-osm-doc を参照してください。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターには、Strimzi Kafka 拡張機能がインストールされている必要がある | Strimzi Kafka 拡張機能は、セキュリティと監視の機能を備えたリアルタイムのデータ パイプラインとストリーミング アプリケーションを構築するために Kafka をインストールするオペレーターを提供します。 詳細情報: https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Kubernetes クラスターで Container Storage Interface (CSI) を有効にする必要がある | Container Storage Interface (CSI) は、Azure Kubernetes Service 上のコンテナー化されたワークロードへの任意のブロックとファイル ストレージ システムの公開に関する標準です。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes クラスターでキー管理サービス (KMS) を有効にする必要がある | Kubernetes クラスターのセキュリティのために etcd での保存時にシークレット データを暗号化するため、キー管理サービス (KMS) を使います。 詳細については、https://aka.ms/aks/kmsetcdencryption を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes クラスターでは Azure CNI を使用する必要がある | Azure CNI は、Azure ネットワーク ポリシー、Windows ノード プール、仮想ノード アドオンなど、一部の Azure Kubernetes Service 機能の前提条件です。 詳細については、https://aka.ms/aks-azure-cni を参照してください | Audit、Disabled | 1.0.1 |
| Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする必要がある | コマンドの呼び出しを無効にすると、制限されたネットワーク アクセスや Kubernetes のロールベースのアクセス制御のバイパスを回避してセキュリティを強化できます | Audit、Disabled | 1.0.1 |
| Azure Kubernetes Service クラスターでクラスター自動アップグレードを有効にする必要がある | AKS クラスター自動アップグレードで、クラスターを常に最新の状態に保ち、AKS やアップストリーム Kubernetes が提供する最新の機能やパッチを見逃さないようにすることができます。 詳細については、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターでイメージ クリーナーを有効にする必要がある | イメージ クリーナーでは、脆弱性のある使用されていないイメージの自動識別および削除が実行されます。これにより、古くなったイメージによるリスクが軽減され、それらをクリーンアップするのに必要な時間が短縮されます。 詳細については、https://aka.ms/aks/image-cleaner を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターでは Microsoft Entra ID 統合が有効になっている必要がある | ユーザーの ID またはディレクトリ グループ メンバーシップに基づいて Kubernetes のロールベースのアクセス制御 (Kubernetes RBAC) を構成すると、AKS マネージド Microsoft Entra ID 統合で、クラスターへのアクセスを管理できます。 詳細については、https://aka.ms/aks-managed-aad を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Kubernetes Service クラスターでノード OS 自動アップグレードを有効にする必要がある | AKS ノード OS 自動アップグレードにより、ノード レベルの OS セキュリティ更新プログラムが制御されます。 詳細については、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターでワークロード ID を有効にする必要がある | ワークロード ID を使用すると、各 Kubernetes ポッドに一意の ID を割り当て、それを Azure Key Vault などの Azure AD で保護されたリソースに関連付けて、ポッド内からこれらのリソースに安全にアクセスできます。 詳細については、https://aka.ms/aks/wi を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 | Audit、Disabled | 2.0.1 |
| Azure Kubernetes Service クラスターでは、ローカル認証方法を無効にする必要があります | ローカル認証方法を無効にすると、Azure Kubernetes Service クラスターの認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/aks-disable-local-accounts を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Kubernetes Service クラスターではマネージド ID を使用する必要がある | マネージド ID を使用して、サービス プリンシパルを回り込み、クラスター管理を簡略化し、マネージド サービス プリンシパルに必要な複雑さを回避します。 詳細については、https://aka.ms/aks-update-managed-identities を参照してください | Audit、Disabled | 1.0.1 |
| Azure Kubernetes Service プライベート クラスターを有効にする必要がある | Azure Kubernetes Service クラスターのプライベート クラスター機能を有効にして、API サーバーとノード プールの間のトラフィックがプライベート ネットワーク上のみに保持されるようにします。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | 1.0.2 |
| Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Arc 対応 Kubernetes クラスターを構成して Azure Policy の拡張機能をインストールする | Azure Arc 用の Azure Policy 拡張機能をデプロイして大規模に適用し、Arc 対応 Kubernetes クラスターを一元化された一貫性のある方法で保護します。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | DeployIfNotExists、Disabled | 1.1.0 |
| Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 お使いの Azure Kubernetes Service クラスターで SecurityProfile.Defender を有効にすると、クラスターにエージェントがデプロイされ、セキュリティ イベント データが収集されます。 Microsoft Defender for Containers の詳細: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | DeployIfNotExists、Disabled | 4.1.0 |
| Kubernetes クラスターで Flux 拡張機能のインストールを構成する | クラスター内で "fluxconfigurations" のデプロイを有効にするために、Kubernetes クラスターに Flux 拡張機能をインストールします | DeployIfNotExists、Disabled | 1.0.0 |
| バケット ソースと KeyVault 内のシークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された Bucket SecretKey が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Git リポジトリと HTTPS CA 証明書を使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、HTTPS CA 証明書が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| Git リポジトリと HTTPS シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された HTTPS キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Git リポジトリとローカル シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Git リポジトリと SSH シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| パブリック Git リポジトリを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| ローカル シークレットを使用して、指定された Flux v2 バケット ソースで Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 必要な管理者グループ アクセスを使用して Microsoft Entra ID 統合 Azure Kubernetes Service クラスターを構成する | Microsoft Entra ID 統合 AKS クラスターへの管理者アクセスを一元的に管理することにより、クラスターのセキュリティが確実に強化されます。 | DeployIfNotExists、Disabled | 2.1.0 |
| Azure Kubernetes クラスターでノード OS 自動アップグレードを構成する | ノード OS 自動アップグレードを使用して、Azure Kubernetes Service (AKS) クラスターのノード レベルの OS セキュリティ更新プログラムを制御します。 詳しくは、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| デプロイ - Azure Kubernetes Service の診断設定を Log Analytics ワークスペースに構成する | リソース ログをストリーミングするための Azure Kubernetes Service の診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 3.0.0 |
| Azure Policy アドオンを Azure Kubernetes Service クラスターにデプロイする | Azure Policy アドオンを使用して、Azure Kubernetes Service (AKS) クラスターのコンプライアンスの状態を管理およびレポートします。 詳細については、「https://aka.ms/akspolicydoc」を参照してください。 | DeployIfNotExists、Disabled | 4.1.0 |
| Azure Kubernetes Service にイメージ クリーナーをデプロイする | Azure Kubernetes クラスターにイメージ クリーナーをデプロイします。 詳細については、https://aka.ms/aks/image-cleaner を参照してください。 | DeployIfNotExists、Disabled | 1.0.4 |
| 計画メンテナンスをデプロイして Azure Kubernetes Service (AKS) クラスターのアップグレードをスケジュールおよび制御する | 計画メンテナンスを使用すると、週ごとのメンテナンス期間をスケジュールして、更新を実行し、ワークロードへの影響を最小限に抑えることができます。 スケジュールが設定されると、アップグレードは選択した期間内にのみ実行されます。 詳細については、https://aka.ms/aks/planned-maintenance を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする | コマンドの呼び出しを無効にすると、クラスターへの invoke-command アクセスを拒否してセキュリティを強化できます | DeployIfNotExists、Disabled | 1.2.0 |
| クラスター コンテナーに readiness probe または liveness probe が構成されていることを確認する | このポリシーでは、すべてのポッドに readiness probe または liveness probe が構成されていることが強制されます。 プローブの種類は、tcpSocket、httpGet、exec のいずれかになります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | Audit、Deny、Disabled | 3.2.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 | |
| Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない | コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.1 |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 | |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 | |
| Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある | ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.1 |
| Kubernetes クラスター コンテナーでは、許可されているプル ポリシーのみを使用する必要がある | コンテナーのプル ポリシーを制限して、デプロイで許可されているイメージのみを使用するようコンテナーに強制します。 | Audit、Deny、Disabled | 3.1.0 |
| Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある | ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.1 |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある | ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.1 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある | ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.1 |
| Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある | ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.1 |
| Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 |
| Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある | 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある | Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.1.0 |
| Kubernetes クラスターでは、Naked Pod を使用しない | Naked Pod の使用をブロックします。 ノード障害が発生した場合、Naked Pod は再スケジュールされません。 ポッドは、Deployment、Replicset、Daemonset、または Jobs で管理する必要があります | Audit、Deny、Disabled | 2.1.0 |
| Kubernetes クラスターの Windows コンテナーでは CPU とメモリをオーバーコミットすることができない | Windows コンテナー リソース要求は、オーバーコミットを回避するために、リソースの制限以下または未指定にする必要があります。 Windows メモリが過剰にプロビジョニングされている場合、メモリ不足でコンテナーを終了するのではなく、ディスク内のページが処理されるため、パフォーマンスが低下する可能性があります | Audit、Deny、Disabled | 2.1.0 |
| Kubernetes クラスターの Windows コンテナーを ContainerAdministrator として実行することはできない | Windows ポッドまたはコンテナーのコンテナー プロセスを実行するためのユーザーとして ContainerAdministrator を使用できないようにします。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| Kubernetes クラスター Windows コンテナーは、承認されたユーザーとドメイン ユーザー グループでのみ実行する必要がある | Kubernetes クラスターで Windows ポッドとコンテナーを実行するために使用できるユーザーを制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした、Windows ノード上のポッド セキュリティ ポリシーの一部です。 | Audit、Deny、Disabled | 2.1.0 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.1.0 |
| Kubernetes クラスターで cluster-admin ロールが、必要な場合にのみ使用されていることを確認する必要がある | ロール 'cluster-admin' は、環境に対して幅広い機能を提供し、必要な場合にのみ使用する必要があります。 | Audit、Disabled | 1.0.0 |
| Kubernetes クラスターでは、ロールとクラスター ロールでのワイルドカードの使用を最小限に抑える必要がある | ワイルドカード '*' は、特定のロールには必要ないかもしれない広範なアクセス許可を付与するため、ワイルドカードの使用はセキュリティ上のリスクになる可能性があります。 ロールのアクセス許可が多すぎると、攻撃者や侵害されたユーザーによって、クラスター内のリソースへ不正アクセスを行うためにロールが悪用される可能性があります。 | Audit、Disabled | 1.0.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 |
| Kubernetes クラスターで ClusterRole/system:aggregate-edit のエンドポイント編集アクセス許可を許可しない | CVE-2021-25740 のため、ClusterRole/system:aggregate-to-edit でエンドポイント編集権限を許可しないでください。Endpoint および EndpointSlice 権限では、名前空間間の転送が許可されます (https://github.com/kubernetes/kubernetes/issues/103675)。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Disabled | 3.1.0 |
| Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes クラスターでは特定のセキュリティ機能を使用しない | Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.1.0 |
| Kubernetes クラスターでは、Container Storage Interface (CSI) ドライバー StorageClass を使用する必要があります | Container Storage Interface (CSI) は、Kubernetes のコンテナー化されたワークロードに任意のブロックおよびファイル ストレージ システムを公開する標準です。 AKS バージョン 1.21 以降、ツリー内プロビジョナー StorageClass は非推奨にする必要があります。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 | Audit、Deny、Disabled | 2.2.0 |
| Kubernetes クラスターでは内部ロード バランサーを使用する必要がある | 内部ロード バランサーを使用することで、Kubernetes サービスを Kubernetes クラスターと同じ仮想ネットワークで実行されているアプリケーションからのみアクセス可能にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Kubernetes リソースには必須の注釈が必要 | Kubernetes リソースのリソース管理を向上させるために、必要な注釈が特定の Kubernetes リソースの種類にアタッチされていることを確認します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Deny、Disabled | 3.1.0 |
| Azure Kubernetes Service でリソース ログを有効にする必要がある | Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
Lab Services
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Lab Services では自動シャットダウンのすべてのオプションを有効にする必要がある | このポリシーは、ラボに対してすべての自動シャットダウン オプションを有効にすることで、コスト管理に役立ちます。 | Audit、Deny、Disabled | 1.1.0 |
| Lab Services でラボのテンプレート仮想マシンを許可しない | このポリシーでは、Lab Services で管理されるラボのテンプレート仮想マシンの作成とカスタマイズを禁止します。 | Audit、Deny、Disabled | 1.1.0 |
| Lab Services ではラボに管理者以外のユーザーが必要 | このポリシーでは、ラボ サービスを使用して管理されるラボに対して管理者以外のユーザー アカウントを作成する必要があります。 | Audit、Deny、Disabled | 1.1.0 |
| Lab Services では、許可されている仮想マシンの SKU サイズを制限する必要がある | このポリシーを使用すると、Lab Services を介して管理されるラボの特定のコンピューティング VM SKU を制限できます。 これにより、特定の仮想マシンのサイズが制限されます。 | Audit、Deny、Disabled | 1.1.0 |
Lighthouse
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Lighthouse を使用してオンボードするテナント ID の管理を許可する | Azure Lighthouse の委任を特定の管理テナントに制限すると、Azure リソースを管理できるユーザーが制限されることにより、セキュリティが向上します。 | deny | 1.0.1 |
| 管理テナントへのスコープの委任を監査する | Azure Lighthouse を介した管理テナントへのスコープの委任を監査します。 | Audit、Disabled | 1.0.0 |
Logic Apps
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある | 統合サービス環境にデプロイし、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.0.0 |
| 統合サービス環境に Logic Apps をデプロイする必要がある | 仮想ネットワーク内の統合サービス環境に Logic Apps をデプロイすると、Logic Apps のネットワークとセキュリティの高度な機能が利用できるようになり、ネットワーク構成の制御を強化できます。 詳細については、https://aka.ms/integration-service-environment を参照してください。 また、統合サービス環境にデプロイすることで、カスタマー マネージド キーを使用した暗号化も可能になります。これにより、暗号化キーを自分で管理できるようにすることで、データ保護が強化されます。 その目的は、多くの場合、コンプライアンス要件を満たすことです。 | Audit、Deny、Disabled | 1.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
Machine Learning
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Machine Learning モデル レジストリのデプロイは、許可されたレジストリを除いて制限される | 許可されたレジストリに、制限されていないレジストリ モデルのみをデプロイします。 | Deny、Disabled | 1.0.0-preview |
| Azure Machine Learning コンピューティング インスタンスでアイドル シャットダウンを行う必要がある。 | アイドル シャットダウンをスケジュール設定すると、事前に決定されたアクティビティ期間の後にアイドル状態になっているコンピューティングがシャットダウンされ、コストが削減されます。 | Audit、Deny、Disabled | 1.0.0 |
| 最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある | Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 | Audit、Disabled | 1.0.1 |
| Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になり、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.3 |
| Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットに公開されないようになり、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| ネットワークの分離の下位互換性をサポートするには、Azure Machine Learning ワークスペースで V1LegacyMode を有効にする必要がある | Azure ML では、Azure Resource Manager 上の新しい V2 API プラットフォームへの移行が行われ、V1LegacyMode パラメーターを使用して API プラットフォームのバージョンを制御できます。 V1LegacyMode パラメーターを有効にすると、ワークスペースを V1 と同じネットワーク分離状態に保つことができますが、新しい V2 の機能は使用できません。 AzureML コントロール プレーン データをプライベート ネットワーク内に保持したい場合にのみ V1 レガシ モードを有効にすることをお勧めします。 詳細については、https://aka.ms/V1LegacyMode を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースではユーザー割り当てマネージド ID を使用する必要がある | ユーザー割り当てマネージド ID を使用して、Azure ML ワークスペースと関連付けられているリソース、Azure Container Registry、KeyVault、Storage、および App Insights へのアクセスを管理します。 既定では、関連付けられているリソースにアクセスするために、システムによって割り当てられたマネージド ID が Azure ML ワークスペースで使用されます。 ユーザー割り当てのマネージド ID を使用すると、Azure リソースとして ID を作成し、その ID のライフサイクルを保守することができます。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Machine Learning コンピューティングを構成してローカル認証方法を無効にする | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になるようにします。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Modify、Disabled | 2.1.0 |
| プライベート DNS ゾーンを使用するように Azure Machine Learning ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Machine Learning ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| 公衆ネットワーク アクセスを無効にするように Azure Machine Learning ワークスペースを構成する | パブリック インターネット経由でワークスペースにアクセスできないように、Azure Machine Learning ワークスペースの公衆ネットワーク アクセスを無効にします。 これは、データ漏洩のリスクからワークスペースを保護するために役立ちます。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Modify、Disabled | 1.0.3 |
| プライベート エンドポイントを使用して Azure Machine Learning ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Log Analytics ワークスペースに Azure Machine Learning ワークスペースの診断設定を構成する | Azure Machine Learning ワークスペースのリソース ログをストリーミングする診断設定がない Azure Machine Learning ワークスペースが作成または更新されたときには、その診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Machine Learning ワークスペースのリソース ログを有効にする必要がある | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
マネージド アプリケーション
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| マネージド アプリケーションのアプリケーション定義では、ユーザー指定のストレージ アカウントを使用する | これが規制またはコンプライアンスの要件である場合、独自のストレージ アカウントを使用してアプリケーション定義データを制御してください。 管理アプリケーション定義は、作成時に指定したストレージ アカウント内に保存することを選択できます。これにより、場所とアクセスを完全に管理し、規制コンプライアンス要件を満たすことができます。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| マネージド アプリケーションの関連付けのデプロイ | 選択したリソースの種類を、指定したマネージド アプリケーションに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 | deployIfNotExists | 1.0.0 |
マネージド Grafana
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Managed Grafana ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Managed Grafana にプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 | Audit、Disabled | 1.0.0 |
| Azure Managed Grafana ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Managed Grafana ワークスペースがパブリック インターネット上に公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、ワークスペースの公開を制限できます。 | Audit、Deny、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Managed Grafana ダッシュボードを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Managed Grafana にプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 | DeployIfNotExists、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Managed Grafana ワークスペースを構成する | Azure Managed Grafana ワークスペースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するよう Azure Managed Grafana ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンはお客様の仮想ネットワークに接続して Azure Managed Grafana ワークスペースに解決します。 | DeployIfNotExists、Disabled | 1.0.0 |
マネージド ID
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Kubernetes からのマネージド ID フェデレーション資格情報は、信頼できるソースからのものである必要がある | このポリシーでは、Azure Kubernetes クラスターとのフェデレーションを、承認済みテナント、承認済みリージョン、および追加クラスターの特定の例外リストからのクラスターのみに制限します。 | Audit, Disabled, Deny | 1.0.0-preview |
| [プレビュー]: GitHub からのマネージド ID フェデレーション資格情報は、信頼できるリポジトリ所有者からのものである必要がある | このポリシーでは、GitHub リポジトリのフェデレーションを、承認されたリポジトリ所有者のみに制限します。 | Audit, Disabled, Deny | 1.0.1-preview |
| [プレビュー]: マネージド ID フェデレーション資格情報は、許可された発行者の種類からのものである必要がある | このポリシーでは、マネージド ID で、一般的な発行者の種類に許可されているフェデレーション資格情報を使用できるかどうかを制限し、許可されている発行者例外の一覧を提供します。 | Audit, Disabled, Deny | 1.0.0-preview |
| [プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machine Scale Sets に割り当てる | 仮想マシン スケール セットに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.6-preview |
| [プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machines に割り当てる | 仮想マシンに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.6-preview |
Maps
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| CORS でマップ アカウントへのアクセスをすべてのリソースには許可しない。 | クロス オリジン リソース共有 (CORS) では、マップ アカウントへのアクセスをすべてのドメインには許可しないでください。 マップ アカウントの操作に必要なドメインのみを許可します。 | 無効、監査、拒否 | 1.0.0 |
Media Services
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Media Services アカウントで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに Media Services リソースが露出されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Media Services リソースの露出を制限できます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Media Services アカウントでは、Private Link をサポートする API を使用する必要がある | Media Services アカウントは、プライベート リンクをサポートする API を使用して作成する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| レガシ v2 API へのアクセスを許可する Azure Media Services アカウントをブロックする必要がある | Media Services レガシ v2 API は、Azure Policy を使用して管理できない要求を許可します。 2020-05-01 API 以降を使用して作成された Media Services リソースは、レガシ v2 API へのアクセスをブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Media Services コンテンツ キー ポリシーではトークン認証を使用する必要がある | コンテンツ キー ポリシーは、コンテンツ キーにアクセスするために満たす必要がある条件を定義します。 トークン制限により、認証サービス (Microsoft Entra ID など) からの有効なトークンを持つユーザーしかコンテンツ キーにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| HTTPS 入力のある Azure Media Services ジョブでは入力 URI を許可された URI パターンに制限する必要がある | Media Services ジョブによって使用される HTTPS 入力を既知のエンドポイントに制限します。 HTTPS エンドポイントからの入力は、許可されるジョブ入力パターンとして空のリストを設定することで完全に無効にすることができます。 ジョブの入力で "baseUri" が指定されている場合、その値とパターンが照合されます。"baseUri" が設定されていない場合、パターンは "files" プロパティと照合されます。 | Deny、Disabled | 1.0.1 |
| Azure Media Services では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Media Services アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/mediaservicescmkdocs をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Media Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Media Services を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Media Services アカウントに解決されます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Media Services を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Migrate
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライベート DNS ゾーンを使用するよう Azure Migrate リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure Migrate プロジェクトを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
モバイル ネットワーク
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Packet Core コントロール プレーン診断アクセスを構成して、認証の種類 Microsoft EntraID を使用します | ローカル API 経由のパケット コア診断アクセスには、認証の種類が Microsoft EntraID である必要があります | Modify、Disabled | 1.0.0 |
| パケット コア コントロール プレーンの診断アクセスは、Microsoft EntraID 認証の種類のみを使用する必要があります | ローカル API 経由のパケット コア診断アクセスには、認証の種類が Microsoft EntraID である必要があります | Audit、Deny、Disabled | 1.0.0 |
| SIM グループでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、SIM グループ内の SIM シークレットの残りの部分での暗号化を管理します。 カスタマー マネージド キーは、規制コンプライアンス標準を満たすために一般的に必要であり、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できるようにします。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.0.0 |
監視
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Linux マシンを構成する | Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Linux マシンを保護します。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Windows マシンを構成する | Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Windows マシンを保護します。 | DeployIfNotExists、Disabled | 1.1.0-preview |
| [プレビュー]: システム割り当てマネージド ID を構成して、VM で Azure Monitor 割り当てを有効にする | Azure でホストされている仮想マシンのうち、Azure Monitor によってサポートされているものの、システム割り当てマネージド ID が与えられていない仮想マシンに、システム割り当てマネージド ID を構成します。 システム割り当てマネージド ID はすべての Azure Monitor 割り当ての前提条件であり、Azure Monitor 拡張機能を使用する前に、マシンに追加する必要があります。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | Modify、Disabled | 6.0.0-preview |
| 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| アクティビティ ログを 1 年以上保持する必要がある | このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Application Insights コンポーネントでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、Application Insights のセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このコンポーネントのログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Application Insights コンポーネントでは、非 Azure Active Directory ベースの取り込みをブロックする必要がある。 | ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 | Deny、Audit、Disabled | 1.0.0 |
| プライベート リンクを有効にした Application Insights コンポーネントでは、プロファイラーとデバッガー用に Bring Your Own Storage アカウントを使用する必要がある。 | プライベート リンクとカスタマー マネージド キーのポリシーをサポートするには、プロファイラーとデバッガー用の独自のストレージ アカウントを作成します。 詳細については、https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage を参照してください | Deny、Audit、Disabled | 1.0.0 |
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| Azure Application Gateway でリソース ログを有効にする必要がある | Azure Application Gateway (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door でリソース ログを有効にする必要がある | Azure Front Door (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door Standard または Premium (Plus WAF) でリソース ログを有効にする必要がある | Azure Front Door Standard または Premium (および WAF) のリソース ログと、Log Analytics ワークスペースへのストリームを有効にします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics ワークスペースを介した Azure ログ検索アラートでは、カスタマー マネージド キーを使用する必要がある | 顧客がクエリ対象の Log Analytics ワークスペースに対して提供したストレージ アカウントを使用してクエリ テキストを保存することで、Azure ログ検索アラートでカスタマー マネージド キーが実装されるようにします。 詳細については、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
| Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Application Insights 用の Azure Monitor ログを Log Analytics ワークスペースにリンクする必要がある | Application Insights コンポーネントを Log Analytics ワークスペースにリンクしてログを暗号化します。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor のデータに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用して有効にされた Log Analytics ワークスペースにコンポーネントをリンクすることで、Application Insights のログが確実にこのコンプライアンス要件を満たします。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Monitor プライベート リンク スコープでプライベート リンク リソース以外へのアクセスをブロックする必要がある | Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor プライベート リンク スコープではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure Monitor ソリューション "Security and Audit" をデプロイする必要がある | このポリシーでは、Security and Audit が確実にデプロイされるようにします。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 指定された Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する | Azure Activity の診断設定をデプロイして、サブスクリプションの監査ログを Log Analytics ワークスペースにストリーミングし、サブスクリプション レベルのイベントを監視します | DeployIfNotExists、Disabled | 1.0.0 |
| ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Application Insights コンポーネントを構成する | セキュリティを強化するために、公衆ネットワーク アクセスからのコンポーネントのログの取り込みとクエリを無効にします。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 | Modify、Disabled | 1.1.0 |
| ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Log Analytics ワークスペースを構成する | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 | Modify、Disabled | 1.1.0 |
| プライベート リンク リソース以外へのアクセスをブロックするように Azure Monitor プライベート リンク スコープを構成する | Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Monitor プライベート リンク スコープを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Monitor プライベート リンク スコープに解決されます。 詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Monitor プライベート リンク スコープを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Arc が有効な Linux サーバー上で依存関係エージェントを構成する | 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure Monitoring Agent 設定を使用して Azure Arc 対応の Linux サーバーで Dependency Agent を構成する | Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.1.2 |
| Azure Arc が有効な Windows サーバー上で依存関係エージェントを構成する | 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure Monitoring Agent 設定を使用して Azure Arc 対応の Windows サーバーで Dependency Agent を構成する | Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.1.2 |
| Linux Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.0 |
| Azure Monitor エージェントを実行するように Linux Arc 対応マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
| Linux マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 6.3.0 |
| Linux 仮想マシン スケール セットを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.2.0 |
| システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.5.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.6.0 |
| Linux Virtual Machines を構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.2.0 |
| システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.5.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.6.0 |
| Azure Arc が有効な Linux サーバー上で Log Analytics 拡張機能を構成する。 下記の非推奨の通知を参照してください。 | Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | DeployIfNotExists、Disabled | 2.1.1 |
| Azure Arc が有効な Windows サーバー上で Log Analytics 拡張機能を構成する | Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 2.1.1 |
| ログと監視を集中管理するように Log Analytics ワークスペースとオートメーション アカウントを構成する | Log Analytics ワークスペースとリンクされたオートメーション アカウントを含むリソース グループをデプロイして、ログと監視を集中管理します。 オートメーション アカウントは、Updates や Change Tracking のようなソリューションの前提条件です。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
| Windows Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.0 |
| Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
| Windows マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.5.0 |
| Windows 仮想マシン スケール セットを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.3.0 |
| システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシン スケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.4.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0 |
| Windows Virtual Machines を構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.3.0 |
| システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 4.4.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
| デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 | DeployIfNotExists、Disabled | 3.1.0 |
| デプロイ - Azure Key Vault マネージド HSM で有効にする診断設定を Log Analytics ワークスペースに構成する | この診断設定がない Azure Key Vault マネージド HSM が作成または更新されたときに地域の Log Analytics ワークスペースにストリーム配信する Azure Key Vault マネージド HSM の診断設定をデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
| デプロイ - Log Analytics 拡張機能を Windows 仮想マシンで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
| Linux Virtual Machine Scale Sets 用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | deployIfNotExists | 5.0.0 |
| Azure Monitoring Agent 設定を使用して Linux 仮想マシン スケール セット用の依存関係エージェントをデプロイする | 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | DeployIfNotExists、Disabled | 3.1.1 |
| Linux 仮想マシン用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux 仮想マシン用にエージェントをデプロイします。 | deployIfNotExists | 5.0.0 |
| Azure Monitoring Agent 設定を使用して Linux 仮想マシン用の Dependency Agent をデプロイする | 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 | DeployIfNotExists、Disabled | 3.1.1 |
| Azure Monitoring Agent 設定を使用して Windows 仮想マシン スケール セットで有効にする依存関係エージェントをデプロイする | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 1.2.2 |
| Azure Monitoring Agent 設定を使用して Windows 仮想マシンで有効にする依存関係エージェントをデプロイする | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 | DeployIfNotExists、Disabled | 1.2.2 |
| Batch アカウントの診断設定をイベント ハブにデプロイする | Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Batch アカウントの診断設定を Log Analytics ワークスペースにデプロイする | Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Data Lake Analytics の診断設定をイベント ハブにデプロイする | Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Data Lake Analytics の診断設定を Log Analytics ワークスペースにデプロイする | Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Data Lake Storage Gen1 の診断設定をイベント ハブにデプロイする | Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Data Lake Storage Gen1 の診断設定を Log Analytics ワークスペースにデプロイする | Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| イベント ハブの診断設定をイベント ハブにデプロイする | イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.1.0 |
| イベント ハブの診断設定を Log Analytics ワークスペースにデプロイする | イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Key Vault の診断設定を Log Analytics ワークスペースにデプロイする | Key Vault の診断設定をデプロイして、この診断設定がない Key Vault が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 3.0.0 |
| Logic Apps の診断設定をイベント ハブにデプロイする | Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Logic Apps の診断設定を Log Analytics ワークスペースにデプロイする | Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| ネットワーク セキュリティ グループの診断設定のデプロイ | このポリシーは、ネットワーク セキュリティ グループに対して診断設定を自動的にデプロイします。 '{storagePrefixParameter}{NSGLocation}' という名前のストレージ アカウントが自動的に作成されます。 | deployIfNotExists | 2.0.1 |
| Search サービスの診断設定をイベント ハブにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Search サービスの診断設定を Log Analytics ワークスペースにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Service Bus の診断設定をイベント ハブにデプロイする | Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Service Bus の診断設定を Log Analytics ワークスペースにデプロイする | Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 2.1.0 |
| Stream Analytics の診断設定をイベント ハブにデプロイする | Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
| Stream Analytics の診断設定を Log Analytics ワークスペースにデプロイする | Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Linux 仮想マシン スケール セット用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 | 定義された一覧に VM イメージ (OS) があり、Log Analytics 拡張機能がインストールされていない場合は、Linux Virtual Machine Scale Sets 用に拡張機能をデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 非推奨の通知: Log Analytics エージェントは、2024 年 8 月 31 日以降はサポートされません。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | deployIfNotExists | 3.0.0 |
| Linux VM 用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 | 定義されている一覧に VM イメージ (OS) があり、この Linux VM 用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | deployIfNotExists | 3.0.0 |
| API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| App Service (microsoft.web/sites) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service (microsoft.web/site) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Virtual Desktop Application グループ (microsoft.desktopvirtualization/applicationgroups) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Application Insights (Microsoft.Insights/components) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Application Insights (Microsoft.Insights/components) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 構成証明プロバイダー (microsoft.attestation/attestationproviders) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、構成証明プロバイダー (microsoft.attestation/attestationproviders) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 構成証明プロバイダー (microsoft.attestation/attestationproviders) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、構成証明プロバイダー (microsoft.attestation/attestationproviders) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 構成証明プロバイダー (microsoft.attestation/attestationproviders) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、構成証明プロバイダー (microsoft.attestation/attestationproviders) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| AVS プライベート クラウド (microsoft.avs/privateclouds) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、AVS プライベート クラウド (microsoft.avs/privateclouds) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| AVS プライベート クラウド (microsoft.avs/privateclouds) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、AVS プライベート クラウド (microsoft.avs/privateclouds) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| AVS プライベート クラウド (microsoft.avs/privateclouds) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、AVS プライベート クラウド (microsoft.avs/privateclouds) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブへの Azure Cache for Redis (microsoft.cache/redis) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cache for Redis (microsoft.cache/redis) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Azure Cache for Redis (microsoft.cache/redis) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cache for Redis (microsoft.cache/redis) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cache for Redis (microsoft.cache/redis) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cache for Redis (microsoft.cache/redis) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cosmos DB (microsoft.documentdb/databaseaccounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure FarmBeats (microsoft.agfoodplatform/farmbeats) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Azure FarmBeats (microsoft.agfoodplatform/farmbeats) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 用のLog Analytics ワークスペースにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure FarmBeats (microsoft.agfoodplatform/farmbeats) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Machine Learning (microsoft.machinelearningservices/workspaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Machine Learning (microsoft.machinelearningservices/workspaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Log Analytics への Azure Machine Learning (microsoft.machinelearningservices/workspaces) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーは、カテゴリ グループを使用して診断設定をデプロイし、Azure Machine Learning (microsoft.machinelearningservices/workspaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Machine Learning (microsoft.machinelearningservices/workspaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Machine Learning (microsoft.machinelearningservices/workspaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bastion (microsoft.network/bastionhosts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Bastion (microsoft.network/bastionhosts) 用のLog Analytics ワークスペースにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bastion (microsoft.network/bastionhosts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブへのコンテナー レジストリ (microsoft.containerregistry/registries) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コンテナー レジストリ (microsoft.containerregistry/registries) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| コンテナー レジストリ (microsoft.containerregistry/registries) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コンテナー レジストリ (microsoft.containerregistry/registries) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| コンテナー レジストリ (microsoft.containerregistry/registries) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コンテナー レジストリ (microsoft.containerregistry/registries) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Grid ドメイン (microsoft.eventgrid/domains) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid ドメイン (microsoft.eventgrid/domains) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Event Grid ドメイン (microsoft.eventgrid/domains) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid ドメイン (microsoft.eventgrid/domains) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Grid ドメイン (microsoft.eventgrid/domains) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid ドメイン (microsoft.eventgrid/domains) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Grid のパートナー名前空間 (microsoft.eventgrid/partnernamespaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid のパートナー名前空間 (microsoft.eventgrid/partnernamespaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Event Grid のパートナー名前空間 (microsoft.eventgrid/partnernamespaces) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid のパートナー名前空間 (microsoft.eventgrid/partnernamespaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Grid のパートナー名前空間 (microsoft.eventgrid/partnernamespaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Event Grid のパートナー名前空間 (microsoft.eventgrid/partnernamespaces) 用のストレージ アカウントにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Grid トピック (microsoft.eventgrid/topics) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid トピック (microsoft.eventgrid/topics) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Event Grid トピック (microsoft.eventgrid/topics) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Grid トピック (microsoft.eventgrid/topics) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Grid トピック (microsoft.eventgrid/topics) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Event Grid トピック (microsoft.eventgrid/topics) 用のストレージ アカウントにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Event Hubs 名前空間 (microsoft.eventhub/namespaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Hubs 名前空間 (microsoft.eventhub/namespaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| Event Hubs 名前空間 (microsoft.eventhub/namespaces) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Hubs 名前空間 (microsoft.eventhub/namespaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Event Hubs 名前空間 (microsoft.eventhub/namespaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Event Hubs 名前空間 (microsoft.eventhub/namespaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Firewall (microsoft.network/azurefirewalls) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Firewall (microsoft.network/azurefirewalls) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Front Door と CDN プロファイル (microsoft.cdn/profiles) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.cdn/profiles) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Front Door と CDN プロファイル (microsoft.cdn/profiles) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.cdn/profiles) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ストレージへの Front Door と CDN プロファイル (microsoft.cdn/profiles) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.cdn/profiles) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Front Door と CDN プロファイル (microsoft.network/frontdoors) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.network/frontdoors) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Front Door と CDN プロファイル (microsoft.network/frontdoors) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.network/frontdoors) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Front Door と CDN プロファイル (microsoft.network/frontdoors) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.network/frontdoors) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Function App (microsoft.web/sites) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Function App (microsoft.web/site) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ホスト プール (microsoft.desktopvirtualization/hostpools) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Virtual Desktop ホスト プール (microsoft.desktopvirtualization/hostpools) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub (microsoft.devices/iothubs) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、IoT Hub (microsoft.devices/iothubs) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| IoT Hub (microsoft.devices/iothubs) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、IoT Hub (microsoft.devices/iothubs) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub (microsoft.devices/iothubs) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、IoT Hub (microsoft.devices/iothubs) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Key Vault (microsoft.keyvault/vaults) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Key Vault (microsoft.keyvault/vaults) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Key Vault (microsoft.keyvault/vaults) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Key Vault (microsoft.keyvault/vaults) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Key Vault (microsoft.keyvault/vaults) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Key Vault (microsoft.keyvault/vaults) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics ワークスペース (microsoft.operationalinsights/workspaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Log Analytics ワークスペース (microsoft.operationalinsights/workspaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Log Analytics ワークスペース (microsoft.operationalinsights/workspaces) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Log Analytics ワークスペース (microsoft.operationalinsights/workspaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics ワークスペース (microsoft.operationalinsights/workspaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 リソース ログを有効にして、リソースで発生したアクティビティとイベントを追跡し、発生した変更に関する可視性と分析情報を提供する必要があります。このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Log Analytics ワークスペース (microsoft.operationalinsights/workspaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| マネージド HSM (microsoft.keyvault/managedhsms) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、マネージド HSM (microsoft.keyvault/managedhsms) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| マネージド HSM (microsoft.keyvault/managedhsms) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、マネージド HSM (microsoft.keyvault/managedhsms) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| マネージド HSM (microsoft.keyvault/managedhsms) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、マネージド HSM (microsoft.keyvault/managedhsms) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブへの Media Services (microsoft.media/mediaservices) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Media Services (microsoft.media/mediaservices) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Media Services (microsoft.media/mediaservices) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Media Services (microsoft.media/mediaservices) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Media Services (microsoft.media/mediaservices) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Media Services (microsoft.media/mediaservices) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Purview アカウント (microsoft.purview/accounts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Microsoft Purview アカウント (microsoft.purview/accounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Microsoft Purview アカウント (microsoft.purview/accounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Microsoft Purview アカウント (microsoft.purview/accounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Purview アカウント (microsoft.purview/accounts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Microsoft Purview アカウント (microsoft.purview/accounts) 用のストレージ アカウントにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/p2svpngateways のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/p2svpngateways 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| microsoft.network/p2svpngateways のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/p2svpngateways 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/p2svpngateways のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/p2svpngateways 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL フレキシブル サーバー (microsoft.dbforpostgresql/flexibleservers) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for PostgreSQL フレキシブル サーバー (microsoft.dbforpostgresql/flexibleservers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| パブリック IP アドレス (microsoft.network/publicipaddresses) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、パブリック IP アドレス (microsoft.network/publicipaddresses) 用のイベント ハブにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| パブリック IP アドレス (microsoft.network/publicipaddresses) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、パブリック IP アドレス (microsoft.network/publicipaddresses) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| パブリック IP アドレス (microsoft.network/publicipaddresses) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、パブリック IP アドレス (microsoft.network/publicipaddresses) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Service Bus 名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus 名前空間 (microsoft.servicebus/namespaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Service Bus 名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus 名前空間 (microsoft.servicebus/namespaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Service Bus 名前空間 (microsoft.servicebus/namespaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Service Bus 名前空間 (microsoft.servicebus/namespaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SignalR (microsoft.signalrservice/signalr) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、SignalR (microsoft.signalrservice/signalr) 用のイベント ハブにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Log Analytics への SignalR (microsoft.signalrservice/signalr) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーは、カテゴリ グループを使用して診断設定をデプロイし、SignalR (microsoft.signalrservice/signalr) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SignalR (microsoft.signalrservice/signalr) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SignalR (microsoft.signalrservice/signalr) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブへの SQL データベース (microsoft.sql/servers/databases) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーは、カテゴリ グループを使用して診断設定をデプロイし、SQL データベース (microsoft.sql/servers/databases) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| SQL データベース (microsoft.sql/servers/databases) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL データベース (microsoft.sql/servers/databases) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| SQL データベース (microsoft.sql/servers/databases) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL データベース (microsoft.sql/servers/databases) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| SQL マネージド インスタンス (microsoft.sql/managedinstances) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL マネージド インスタンス (microsoft.sql/managedinstances) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Log Analytics への SQL マネージド インスタンス (microsoft.sql/managedinstances) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL マネージド インスタンス (microsoft.sql/managedinstances) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| SQL マネージド インスタンス (microsoft.sql/managedinstances) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、SQL マネージド インスタンス (microsoft.sql/managedinstances) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Video Analyzer (microsoft.media/videoanalyzers) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Video Analyzer (microsoft.media/videoanalyzers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Video Analyzer (microsoft.media/videoanalyzers) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Video Analyzer (microsoft.media/videoanalyzers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Video Analyzer (microsoft.media/videoanalyzers) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Video Analyzer (microsoft.media/videoanalyzers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ボリューム (microsoft.netapp/netappaccounts/capacitypools/volumes) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ボリューム (microsoft.netapp/netappaccounts/capacitypools/volumes) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| ボリューム (microsoft.netapp/netappaccounts/capacitypools/volumes) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ボリューム (microsoft.netapp/netappaccounts/capacitypools/volumes) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ボリューム (microsoft.netapp/netappaccounts/capacitypools/volumes) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ボリューム (microsoft.netapp/netappaccounts/capacitypools/volumes) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Web PubSub サービス (microsoft.signalrservice/webpubsub) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Web PubSub サービス (microsoft.signalrservice/webpubsub) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Web PubSub サービス (microsoft.signalrservice/webpubsub) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Web PubSub サービス (microsoft.signalrservice/webpubsub) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Web PubSub サービス (microsoft.signalrservice/webpubsub) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Web PubSub サービス (microsoft.signalrservice/webpubsub) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ワークスペース (microsoft.desktopvirtualization/workspaces) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Virtual Desktop ワークスペース (microsoft.desktopvirtualization/workspaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Linux Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある | Linux Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーでは、サポートされているリージョンの Arc 対応マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 1.2.0 |
| Linux 仮想マシン スケール セットには Azure Monitor エージェントがインストールされている必要がある | Linux 仮想マシン スケール セットは、デプロイされた Azure Monitor Agent を使用して監視して保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシン スケール セットを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Linux 仮想マシンには Azure Monitor エージェントがインストールされている必要がある | Linux 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
| Log Analytics ワークスペースでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Log Analytics ワークスペースでは、Azure Active Directory ベースではない取り込みをブロックする必要がある。 | ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 | Deny、Audit、Disabled | 1.0.0 |
| パブリック IP アドレスでは Azure DDoS Protection のリソース ログが有効になっている必要がある | Log Analytics ワークスペースにストリーム配信するために、診断設定でパブリック IP アドレスのリソース ログを有効にします。 通知、レポート、フロー ログを使用して、攻撃のトラフィックと DDoS 攻撃を軽減するために取られた処置に関する詳細を表示します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| サポートされているリソースの監査に対してリソース ログを有効にする必要がある | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 選択したリソースの種類にカテゴリ グループ 監査の診断設定が存在すると、これらのログが有効になり、キャプチャされます。 適用可能なリソースの種類は、"監査" カテゴリ グループをサポートするリソースの種類です。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります | 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の点について詳しくは、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 | AuditIfNotExists、Disabled | 1.0.0 |
| レガシ Log Analytics 拡張機能を Azure Arc 対応 Linux サーバーにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能のアンインストール後、このポリシーによって今後、Azure Arc 対応 Linux サーバーにレガシ エージェント拡張機能をインストールすることが拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics 拡張機能を Azure Arc 対応 Windows サーバーにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能のアンインストール後、このポリシーによって今後、Azure Arc 対応 Windows サーバーにレガシ エージェント拡張機能をインストールすることが拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics 拡張機能を Linux 仮想マシン スケール セットにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics 拡張機能を Linux 仮想マシンにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics 拡張機能を仮想マシン スケール セットにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Windows 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics 拡張機能を仮想マシンにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Windows 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の Virtual Machine Scale Sets を監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 仮想マシンは、指定されたワークスペースに接続する必要がある | ポリシーまたはイニシアティブ割り当てで指定されている Log Analytics ワークスペースに仮想マシンがログを記録していない場合、それらを非準拠として報告します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windows Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある | Windows Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされているリージョンの Windows Arc 対応マシンは、Azure Monitor エージェントのデプロイで監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 1.2.0 |
| Windows 仮想マシン スケール セットに Azure Monitor エージェントがインストールされている必要がある | Window 仮想マシン スケール セットは、デプロイされた Azure Monitor Agent を使用して監視して保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS を備えた仮想マシン スケール セットとサポートされているリージョンで、Azure Monitor エージェントのデプロイが監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Windows 仮想マシンに Azure Monitor エージェントがインストールされている必要がある | Windows 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS およびサポートされているリージョンの Windows 仮想マシンは、Windows Azure Monitor エージェントのデプロイが監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| ブックはユーザーが制御するストレージ アカウントに保存する必要がある | 独自のストレージ (BYOS) を使用すると、ブックはユーザーが制御するストレージ アカウントにアップロードされます。 つまり、保存時の暗号化ポリシー、有効期間の管理ポリシー、ネットワーク アクセスをユーザーが制御することになります。 ただし、そのストレージ アカウントに関連するコストについては、お客様が責任を負うものとします。 詳細については、 https://aka.ms/workbooksByos にアクセスしてください | deny、Deny、audit、Audit、disabled、Disabled | 1.1.0 |
ネットワーク
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: コンテナー レジストリは仮想ネットワーク サービス エンドポイントを使う必要がある | このポリシーでは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのコンテナー レジストリを監査します。 | Audit、Disabled | 1.0.0-preview |
| カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要があります | このポリシーでは、すべての Azure 仮想ネットワーク ゲートウェイ接続がカスタム インターネット プロトコル セキュリティ (Ipsec) またはインターネット キー交換 (IKE) ポリシーを使用することを確認します。 サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください | Audit、Disabled | 1.0.0 |
| すべてのフロー ログ リソースは有効な状態にする必要がある | フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、流れている IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure 仮想ネットワークと選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
| すべての仮想ネットワークのフロー ログ構成を監査する | 仮想ネットワークを監査して、フロー ログが構成されているかどうかを検証します。 フロー ログを有効にすると、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| Azure Application Gateway を Azure WAF と共にデプロイする必要がある | Azure Application Gateway リソースを Azure WAF と共にデプロイする必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| Azure ファイアウォール ポリシーではアプリケーション ルール内で TLS 検査を有効にする必要がある | HTTPS で悪意のあるアクティビティの検出、アラート通知、軽減を行うために、すべてのアプリケーション ルールで TLS 検査を有効にすることをお勧めします。 Azure Firewall を使用した TLS 検査の詳細については、https://aka.ms/fw-tlsinspect にアクセスしてください | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall Premium で、TLS 検査を有効にするために有効な中間証明書を構成する必要がある | 有効な中間証明書を構成し、Azure Firewall Premium TLS 検査を有効にして、HTTPS の悪意のあるアクティビティを検出し、警告し、軽減します。 Azure Firewall を使用した TLS 検査の詳細については、https://aka.ms/fw-tlsinspect にアクセスしてください | Audit、Deny、Disabled | 1.0.0 |
| Azure VPN ゲートウェイで 'Basic' SKU を使用しないでください | このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。 | Audit、Disabled | 1.0.0 |
| Azure Application Gateway の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Application Gateway に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Front Door に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Application Gateway WAF に対してボット保護を有効にする必要がある | このポリシーにより、すべての Azure Application Gateway Web Application Firewall (WAF) ポリシーでボット保護が確実に有効になります | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door WAF に対してボット保護を有効にする必要がある | このポリシーにより、すべての Azure Front Door Web Application Firewall (WAF) ポリシーでボット保護が確実に有効になります | Audit、Deny、Disabled | 1.0.0 |
| Firewall Policy Premium で、侵入検出および防止システム (IDPS) のバイパス一覧を空にする必要がある | 侵入検出および防止システム (IDPS) バイパス一覧を使用すると、バイパス一覧に指定された IP アドレス、範囲、サブネットへのトラフィックをフィルター処理しないようにすることができます。 ただし、既知の脅威をより適切に特定するために、すべてのトラフィック フローに対して IDPS を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、https://aka.ms/fw-idps-signature を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Azure ネットワーク セキュリティ グループの診断設定を Log Analytics ワークスペースに構成する | Azure ネットワーク セキュリティ グループのリソース ログを Log Analytics ワークスペースにストリーミングする診断設定をデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
| トラフィック分析を有効にするためにネットワーク セキュリティ グループを構成する | トラフィック分析は、ポリシーの作成時に指定された設定を使用して、特定のリージョンでホストされているすべてのネットワーク セキュリティ グループに対して有効にできます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 それを持たないネットワーク セキュリティ グループでは、フロー ログも有効化されます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| トラフィック分析に特定のワークスペース、ストレージ アカウント、フローログ保持ポリシーを使用するようにネットワーク セキュリティ グループを構成する | トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| フロー ログと Traffic Analytics を有効にするように仮想ネットワークを構成する | Traffic Analytics とフロー ログは、ポリシー作成時に指定された設定を使用して、特定のリージョンでホストされているすべての仮想ネットワークに対して有効にすることができます。 このポリシーによって、これらの機能が既に有効になっている仮想ネットワークの現在の設定が上書きされることはありません。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.1.1 |
| フロー ログと Traffic Analytics にワークスペース、ストレージ アカウント、保持間隔を適用するように仮想ネットワークを構成する | 仮想ネットワークに対して Traffic Analytics が既に有効になっている場合、このポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.1.2 |
| Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。 | Audit、Disabled | 1.0.0 |
| ターゲット ネットワーク セキュリティ グループを使用してフロー ログ リソースをデプロイする | 特定のネットワーク セキュリティ グループのフロー ログを構成します。 ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | deployIfNotExists | 1.1.0 |
| ターゲット仮想ネットワークを使用してフロー ログ リソースをデプロイする | 特定の仮想ネットワークのフロー ログを構成します。 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | DeployIfNotExists、Disabled | 1.1.1 |
| 仮想ネットワーク作成時の Network Watcher のデプロイ | このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。 Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。 | DeployIfNotExists | 1.0.0 |
| レート制限規則を有効にして、Azure Front Door WAF への DDoS 攻撃から保護する | Azure Front Door 用の Azure Web Application Firewall (WAF) のレート制限規則によって、レート制限期間に特定のクライアント IP アドレスからアプリケーションに送信できる要求数が制御されます。 | Audit、Deny、Disabled | 1.0.0 |
| イベント ハブは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのイベント ハブを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Firewall Policy Premium で、すべての IDPS シグネチャ ルールを有効にして、すべての受信および送信トラフィック フローを監視する必要がある | トラフィック フロー内の既知の脅威をより適切に識別するために、すべての侵入検出および防止システム (IDPS) 署名規則を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、https://aka.ms/fw-idps-signature を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Firewall Policy Premium で、侵入検出および防止システム (IDPS) を有効にする必要がある | 侵入検出および防止システム (IDPS) を有効にすると、ネットワークを監視して悪意のあるアクティビティがないか確認し、このアクティビティに関する情報をログに記録し、それを報告して、必要に応じてそのブロックを試みることができます。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) の詳細については、https://aka.ms/fw-idps を参照してください | Audit、Deny、Disabled | 1.0.0 |
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.1.0 |
| ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。 ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。 | deny | 1.0.0 |
| Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 | Audit、Disabled | 1.0.0 |
| Application Gateway で WAF 構成から WAF ポリシーに WAF を移行する | WAF ポリシーではなく WAF 構成がある場合は、新しい WAF ポリシーに移行できます。 今後、ファイアウォール ポリシーでは、WAF ポリシーの設定、マネージド ルール セット、除外、無効になっているルール グループがサポートされます。 | Audit、Deny、Disabled | 1.0.0 |
| ネットワーク インターフェイスで IP 転送を無効にする | このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。 IP 転送の設定により、Azure によるネットワーク インターフェイスの送信元と送信先のチェックが無効になります。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| ネットワーク インターフェイスにはパブリック IP を設定できない | このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| Network Watcher のフロー ログではトラフィック分析を有効にする必要がある | Traffic Analytics ではフロー ログを分析して、Azure クラウドのトラフィック フローに対する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの誤った構成などを特定することができます。 | Audit、Disabled | 1.0.1 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
| 追加の保護レイヤーを提供するために、サブスクリプションで Azure Firewall Premium を構成する必要がある | Azure Firewall Premium により、機密性が高く、規制された環境のニーズを満たす高度な脅威保護が提供されます。 Azure Firewall Premium をサブスクリプションにデプロイし、すべてのサービス トラフィックが Azure Firewall Premium によって保護されていることを確認します。 Azure Firewall Premium の詳細については、https://aka.ms/fw-premium を参照してください | AuditIfNotExists、Disabled | 1.0.0 |
| 仮想マシンは、承認された仮想ネットワークに接続する必要があります | このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。 | Audit、Deny、Disabled | 1.0.0 |
| 仮想ネットワークを Azure DDoS Protection によって保護する必要がある | Azure DDoS Protection を使用して、仮想ネットワークを帯域幅消費およびプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 | Modify、Audit、Disabled | 1.0.1 |
| 仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります | このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細は https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant で確認してください | Audit、Deny、Disabled | 1.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Web Application Firewall (WAF) では、Application Gateway のすべてのファイアウォール規則を有効にする必要がある | すべての Web Application Firewall (WAF) ルールを有効にすると、アプリケーションのセキュリティが強化され、Web アプリケーションが一般的な脆弱性から保護されます。 Application Gateway での Web Application Firewall (WAF) の詳細については、https://aka.ms/waf-ag を参照してください | Audit、Deny、Disabled | 1.0.1 |
| Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。 | Audit、Deny、Disabled | 1.0.0 |
| Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。 | Audit、Deny、Disabled | 1.0.0 |
ポータル
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| インライン コンテンツを含むマークダウン タイルを共有ダッシュボードに含めることはできない | インライン コンテンツを含む共有ダッシュボードを Markdown タイルで作成することを禁止し、オンラインでホストされている Markdown ファイルとしてコンテンツを保存するようにします。 Markdown タイルでインライン コンテンツを使用した場合は、コンテンツの暗号化を管理できません。 独自のストレージを構成することによって、暗号化や二重暗号化を行うだけでなく、独自のキーを使用することもできます。 このポリシーを有効にすると、ユーザーは、2020-09-01-preview 以降のバージョンの共有ダッシュボード REST API を使用するよう制限されます。 | Audit、Deny、Disabled | 1.0.0 |
回復力
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: API Management サービスはゾーン冗長である必要がある | API Management サービスは、ゾーン冗長になるようにも、ならないようにも構成できます。 API Management サービスは、SKU 名が 'Premium' で、ゾーン配列に少なくとも 2 つのエントリがある場合、ゾーン冗長です。 このポリシーは、ゾーンの停止に耐えるために必要な冗長性がない API Management サービスを識別します。 | Audit、Deny、Disabled | 1.0.1-preview |
| [プレビュー]: App Service プランをゾーン冗長にする必要がある | App Service プランをゾーン冗長にするかどうかを構成できます。 App Service プランの 'zoneRedundant' プロパティを 'false' に設定すると、ゾーン冗長用に構成されません。 このポリシーでは、App Service プランのゾーン冗長構成を識別して適用します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Application Gateway にはゾーン回復性が必要である | Application Gateway はゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーン配列内のエントリが 1 つのみの Application Gateway は、ゾーン アラインと見なされます。 これに対して、ゾーン配列内のエントリが 3 つ以上の Application Gateway は、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure AI 検索サービスはゾーン冗長である必要がある | Azure AI 検索サービスは、ゾーン冗長になるようにも、ならないようにも構成できます。 可用性ゾーンは、2 つ以上のレプリカを検索サービスに追加するときに使用されます。 各レプリカは、リージョン内の異なる可用性ゾーンに配置されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Cache for Redis Enterprise & Flash をゾーン冗長にする必要がある | Azure Cache for Redis Enterprise & Flash をゾーン冗長にするかどうかを構成できます。 ゾーン配列内のエントリが 3 個未満の Azure Cache for Redis Enterprise & Flash のインスタンスは、ゾーン冗長ではありません。 このポリシーによって、ゾーンの停止に耐えるために必要な冗長性がない Azure Cache for Redis Enterprise & Flash のインスタンスが特定されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Cache for Redis はゾーン冗長である必要がある | Azure Cache for Redis をゾーン冗長であるように、またはそうでないように、構成できます。 ゾーン配列内のエントリ数が 2 未満の Azure Cache for Redis インスタンスは、ゾーン冗長ではありません。 このポリシーは、ゾーンの停止に耐えるために必要な冗長性がない Azure Cache for Redis インスタンスを識別します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Data Explorer クラスターはゾーン冗長にする必要がある | Azure Data Explorer クラスターをゾーン冗長にするかどうかを構成できます。 Azure Data Explorer クラスターは、ゾーン配列に少なくとも 2 つのエントリがある場合、ゾーン冗長と見なされます。 このポリシーは、Azure Data Explorer クラスターがゾーン冗長であることを確認するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー] Azure Database for MySQL フレキシブル サーバーにはゾーン回復性が必要である | Azure Database for MySQL フレキシブル サーバーはゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 高可用性のために同じゾーンでスタンバイ サーバーが選択されている MySQL サーバーは、ゾーン アラインと見なされます。 これに対して、高可用性のためにスタンバイ サーバーが別のゾーンになるように選択されている MySQL サーバーは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー] Azure Database for PostgreSQL フレキシブル サーバーにはゾーン回復性が必要である | Azure Database for PostgreSQL フレキシブル サーバーはゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 高可用性のために同じゾーンでスタンバイ サーバーが選択されている PostgreSQL サーバーは、ゾーン アラインと見なされます。 これに対して、高可用性のためにスタンバイ サーバーが別のゾーンになるように選択されている PostgreSQL サーバーは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure HDInsight はゾーン アラインである必要がある | Azure HDInsight は、ゾーン アラインになるようにも、ならないようにも構成できます。 ゾーン配列内のエントリが 1 つのみの Azure HDInsight は、ゾーン アラインと見なされます。 このポリシーを使用すると、Azure HDInsight クラスターが単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Kubernetes Service マネージド クラスターをゾーン冗長にする必要がある | Azure Kubernetes Service マネージド クラスターをゾーン冗長にするかどうかを構成できます。 このポリシーは、クラスターなのノード プールをチェックし、すべてのノード プールに対して可用性ゾーンが設定されていることを確認します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Managed Grafana をゾーン冗長にする必要がある | Azure Managed Grafana をゾーン冗長にするかどうかを構成できます。 'zoneRedundancy' プロパティが 'Enabled' に設定されている場合、Azure Managed Grafana はゾーン冗長です。 このポリシーを適用すると、Azure Managed Grafana は、ゾーン回復性を確保するために適切に構成され、ゾーン停止時のダウンタイムのリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Backup と Site Recovery はゾーン冗長である必要がある | Backup と Site Recovery は、ゾーン冗長になるようにも、ならないようにも構成できます。 'standardTierStorageRedundancy' プロパティが 'ZoneRedundant' に設定されている場合、Backup と Site Recovery はゾーン冗長です。 このポリシーを適用すると、Backup と Site Recovery のゾーン回復性が適切に構成され、ゾーン停止中のダウンタイムのリスクが減ります。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: バックアップ コンテナーはゾーン冗長である必要がある | バックアップ コンテナーは、ゾーン冗長になるようにも、ならないようにも構成できます。 ストレージ設定の種類が 'ZoneRedundant' に設定されており、回復性があると見なされる場合、バックアップ コンテナーはゾーン冗長です。 geo 冗長な、またはローカルに冗長なバックアップ コンテナーは回復性があるとは見なされません。 このポリシーを適用すると、バックアップ コンテナーのゾーン回復性が適切に構成され、ゾーン停止中のダウンタイムのリスクが減ります。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: コンテナー アプリはゾーン冗長である必要がある | コンテナー アプリは、ゾーン冗長になるようにも、ならないようにも構成できます。 マネージド環境の 'ZoneRedundant' プロパティが true に設定されている場合、コンテナー アプリはゾーン冗長です。 このポリシーによって、ゾーンの停止に耐えるために必要な冗長性がないコンテナー アプリが特定されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Container Instances はゾーン アラインである必要がある | Container Instances は、ゾーン アラインになるようにも、ならないようにも構成できます。 ゾーン配列にエントリが 1 つしかない場合は、ゾーン アラインと見なされます。 このポリシーを使用すると、単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: コンテナー レジストリはゾーン冗長にする必要があります | コンテナー レジストリは、ゾーン冗長にするようにも、ゾーン冗長にしないようにも構成できます。 コンテナー レジストリの zoneRedundancy プロパティが "無効" に設定されると、レジストリはゾーン冗長ではありません。 このポリシーを適用すると、コンテナー レジストリのゾーン回復性が適切に構成され、ゾーン停止中のダウンタイムのリスクが減ります。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Cosmos データベース アカウントはゾーン冗長にする必要がある | Cosmos データベース アカウントは、ゾーン冗長にするようにも、ゾーン冗長にしないようにも構成できます。 "enableMultipleWriteLocations" が "true" に設定されている場合、すべての場所は、"isZoneRedundant" プロパティを持つ必要があるとともに、"true" に設定されている必要があります。 "enableMultipleWriteLocations" が "false" に設定されている場合、プライマリの場所 ("failoverPriority" は 0 に設定) は、"isZoneRedundant" プロパティを持つ必要があるとともに、"true" に設定されている必要があります。 このポリシーを適用すると、Cosmos データベース アカウントは、ゾーン冗長に対して適切に構成されるようになります。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Event Hubs をゾーン冗長にする必要がある | Event Hubs をゾーン冗長にするかどうかを構成できます。 'zoneRedundant' プロパティが 'true' に設定されている場合、Event Hubs はゾーン冗長です。 このポリシーを適用すると、Event Hubs は、ゾーン回復性を確保するために適切に構成され、ゾーン停止時のダウンタイムのリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: ファイアウォールにはゾーン回復性が必要である | ファイアウォールはゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーン配列内のエントリが 1 つのみのファイアウォールは、ゾーン アラインと見なされます。 これに対して、ゾーン配列内のエントリが 3 つ以上のファイアウォールは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: ロード バランサーにはゾーン回復性が必要である | Basic 以外の SKU を持つロード バランサーは、フロントエンドのパブリック IP アドレスの回復性を継承します。 'パブリック IP アドレスにはゾーン回復性が必要である' ポリシーと組み合わせると、ゾーンの停止に耐えるために必要な冗長性が確保されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Managed Disks をゾーン冗長にする必要がある | Managed Disks をゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーンが 1 つだけ割り当てられている Managed Disks は、ゾーン アラインされています。 ZRS で終わる SKU 名を持つ Managed Disks は、ゾーン冗長です。 このポリシーは、Managed Disks のこれらの回復性構成を識別して適用するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: NAT ゲートウェイはゾーン アラインである必要がある | NAT ゲートウェイは、ゾーン アラインになるようにも、ならないようにも構成できます。 ゾーン配列内のエントリが 1 つのみの NAT ゲートウェイは、ゾーン アラインと見なされます。 このポリシーを使用すると、NAT ゲートウェイが単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: パブリック IP アドレスをゾーン冗長にする必要がある | パブリック IP アドレスをゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 リージョナルで、ゾーン配列内のエントリが 1 つのみのパブリック IP アドレスは、ゾーン アラインと見なされます。 これに対して、リージョナルで、ゾーン配列内のエントリが 3 つ以上のパブリック IP アドレスは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.1.0-preview |
| [プレビュー]: パブリック IP プレフィックスをゾーン冗長にする必要がある | パブリック IP プレフィックスをゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーン配列内のエントリが 1 つのみのパブリック IP プレフィックスは、ゾーン アラインと見なされます。 これに対して、ゾーン配列内のエントリが 3 個以上のパブリック IP プレフィックスは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Service Bus はゾーン冗長にする必要がある | Service Bus は、ゾーン冗長になるようにも、ならないようにも構成できます。 Service Bus の 'zoneRedundant' プロパティが 'false' に設定されている場合は、ゾーン冗長用に構成されていないことを意味します。 このポリシーでは、Service Bus インスタンスのゾーン冗長構成を識別して適用します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Service Fabric クラスターをゾーン冗長にする必要がある | Service Fabric クラスターをゾーン冗長にするかどうかを構成できます。 true に設定されている multipleAvailabilityZones が nodeType にない Servicefabric クラスターは、ゾーン冗長ではありません。 このポリシーは、ゾーンの停止に耐えるために必要な冗長性がない Servicefabric クラスターを特定します。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: SQL Database をゾーン冗長にする必要がある | SQL Database をゾーン冗長にするかどうかを構成できます。 'zoneRedundant' 設定が 'false' に設定されているデータベースは、ゾーン冗長用に構成されていません。 このポリシーは、Azure で可用性と回復性を強化するために、ゾーン冗長構成が必要な SQL データベースを特定するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: SQL エラスティック データベース プールをゾーン冗長にする必要がある | SQL エラスティック データベース プールをゾーン冗長にするかどうかを構成できます。 'zoneRedundant' プロパティが 'true' に設定されている場合、SQL エラスティック データベース プールはゾーン冗長です。 このポリシーを適用すると、Event Hubs は、ゾーン回復性を確保するために適切に構成され、ゾーン停止時のダウンタイムのリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: SQL Managed Instance をゾーン冗長にする必要がある | SQL Managed Instance をゾーン冗長にするかどうかを構成できます。 'zoneRedundant' 設定が 'false' に設定されているインスタンスは、ゾーン冗長用に構成されていません。 このポリシーは、Azure で可用性と回復性を強化するために、ゾーン冗長構成が必要な SQL managedInstances を特定するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: ストレージ アカウントはゾーン冗長にする必要がある | ストレージ アカウントは、ゾーン冗長になるようにも、ならないようにも構成できます。 ストレージ アカウントの SKU 名が 'ZRS' で終わらないか、その種類が "Storage" の場合、ゾーン冗長ではありません。 このポリシーを使うと、ストレージ アカウントでゾーン冗長構成が使用されるようになります。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Virtual Machine Scale Sets はゾーン回復性がある必要がある | Virtual Machine Scale Sets は、ゾーン アラインにも、ゾーン冗長にも、またはそのどちらでもないように構成できます。 ゾーン配列にエントリが 1 つのみ含まれている Virtual Machine Scale Sets は、ゾーン アラインと見なされます。 これに対し、ゾーン配列に 3 つ以上のエントリがあり、3 つ以上の容量を持つ Virtual Machine Scale Sets は、ゾーン冗長として認識されます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Virtual Machines はゾーンアラインにする必要がある | Virtual Machines の構成は、ゾーン冗長にすることも、しないこともできます。 ゾーン配列にエントリが 1 つしかない場合は、ゾーン アラインと見なされます。 このポリシーを使用すると、単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: 仮想ネットワーク ゲートウェイをゾーン冗長にする必要がある | 仮想ネットワーク ゲートウェイをゾーン冗長にするかどうかを構成できます。 SKU 名またはレベルの末尾が 'AZ' ではない仮想ネットワーク ゲートウェイは、ゾーン冗長ではありません。 このポリシーは、ゾーンの停止に耐えるために必要な冗長性がない仮想ネットワーク ゲートウェイを特定します。 | Audit、Deny、Disabled | 1.0.0-preview |
検索する
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Cognitive Search の認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 [ローカル認証を無効にする] パラメーターはまだプレビュー段階であるのに対し、このポリシーの拒否効果によって、Azure Cognitive Search ポータルの機能が制限される可能性があります。これは、ポータルの一部の機能では、パラメーターをサポートしない GA API が使用されるためです。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではカスタマー マネージド キーを使用して保存データを暗号化する必要がある | Azure Cognitive Search サービスでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存データの暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、キー コンテナーを使用してデータ暗号化キーを管理するための特別なコンプライアンス要件を持つ顧客に適用できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Cognitive Search サービスを構成する | ローカル認証方法を無効にして、Azure Cognitive Search サービスの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 | Modify、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするよう Azure Cognitive Search サービスを構成する | Azure Cognitive Search サービスのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するよう Azure Cognitive Search サービスを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cognitive Search Service サービスを解決します。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Cognitive Search サービスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Cognitive Search サービスにマッピングすると、データ漏えいのリスクを軽減できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Security Center
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Security エージェントをお使いの Linux Arc マシンにインストールする必要がある | Linux Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシン スケール セットにインストールする必要がある | Linux 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシンにインストールする必要がある | Linux 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Azure Security エージェントをお使いの Windows Arc マシンにインストールする必要がある | Windows Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシン スケール セットにインストールする必要がある | Windows 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.1.0-preview |
| [プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシンにインストールする必要がある | Windows 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.1.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Linux Arc マシンにインストールする必要がある | Linux Arc マシンにChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシンにインストールする必要がある | Linux 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシン スケール セットにインストールする必要がある | Linux 仮想マシンのスケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Windows Arc マシンにインストールする必要がある | Windows Arc マシンにChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Windows 仮想マシンにインストールする必要がある | Windows 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Windows 仮想マシン スケール セットにインストールする必要がある | Windows 仮想マシンのスケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 仮想マシン上の Azure Defender for SQL エージェントを構成する | Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Linux Arc マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux Arc マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Linux 仮想マシン スケール セット用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシン スケール セットを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Linux 仮想マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Windows Arc マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows Arc マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Windows 仮想マシン スケール セット用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows 仮想マシン スケール セットを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Windows 仮想マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows 仮想マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Linux Arc マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する | サポートされている Linux 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 6.1.0-preview |
| [プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、Disabled | 5.0.0 - プレビュー |
| [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 7.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する | サポートされている Linux 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Windows Arc マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ターゲット Windows 仮想マシン スケール セットは、サポートされている場所に存在する必要があります。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する | サポートされている Windows 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 4.1.0-preview |
| [プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Windows 仮想マシンを構成する | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Windows 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシンを構成する | サポートされている Windows 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: Shared Image Gallery イメージを使用して作成された VM を構成して、ゲスト構成証明の拡張機能をインストールする | Shared Image Gallery イメージを使用して作成された 仮想マシンを、ゲスト構成証明の拡張機能を自動的にインストールするように構成して、Azure Security Center でブートの整合性を積極的に認証、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Shared Image Gallery イメージを使用して作成された VMSS を構成して、ゲスト構成証明の拡張機能をインストールする | Shared Image Gallery イメージを使用して作成された VMSS を、ゲスト構成証明の拡張機能を自動的にインストールするように構成して、Azure Security Center でブートの整合性を積極的に認証、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| [プレビュー]: Linux ハイブリッド マシンに Microsoft Defender for Endpoint エージェントをデプロイする | Linux ハイブリッド マシンに Microsoft Defender for Endpoint エージェントをデプロイします | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: Linux 仮想マシンに Microsoft Defender for Endpoint エージェントをデプロイする | 適用対象の Linux VM イメージに Microsoft Defender for Endpoint エージェントをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: Windows Azure Arc マシンに Microsoft Defender for Endpoint エージェントをデプロイする | Windows Azure Arc マシンに Microsoft Defender for Endpoint をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: Windows 仮想マシンに Microsoft Defender for Endpoint エージェントをデプロイする | 適用対象の Windows VM イメージに Microsoft Defender for Endpoint をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloud によって、お客様が所有する 1 台以上の Linux マシンで信頼されていない OS ブート コンポーネントが特定されました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Linux 仮想マシンではセキュア ブートを使用する必要がある | マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要がある | Azure の利用規約では、Microsoft サーバーまたはネットワークを破損、無効化、過大な過大、または損なう可能性のある方法で Azure サービスを使用することを禁止しています。 このレコメンデーションによって識別される公開ポートは、継続的なセキュリティのために閉じる必要があります。 特定されたポートごとに、レコメンデーションでは潜在的な脅威の説明も示します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | Audit、Disabled | 4.0.0-preview |
| [プレビュー]: システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある | ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | Audit、Disabled | 2.0.0-preview |
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure API Management の API エンドポイントを認証する必要がある | Azure API Management 内で公開されている API エンドポイントでは、セキュリティ リスクを最小限に抑えるために認証を実施する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| 使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要があります | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは使用されていないと見なされるため、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | AuditIfNotExists、Disabled | 1.0.1 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、Azure ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | Audit、Disabled | 1.0.3 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある | OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (延長サポート) ロール インスタンスでは Endpoint Protection ソリューションがインストールされている必要がある | Endpoint Protection ソリューションがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスを脅威と脆弱性から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある | 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Database for MySQL フレキシブル サーバーで有効になるように Advanced Threat Protection を構成する | Azure Database for MySQL フレキシブル サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティが検出されるようにします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Database for PostgreSQL フレキシブル サーバーで有効になるように Advanced Threat Protection を構成する | Azure Database for PostgreSQL フレキシブル サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティが検出されるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
| Azure Monitor エージェントを自動的にインストールするように Arc 対応 SQL Server を構成する | Windows Arc 対応 SQL Server への Azure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0 |
| Microsoft Defender for SQL を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL エージェントを自動的にインストールするように Windows Arc 対応 SQL Server を構成します。 Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.2.0 |
| Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.3.0 |
| ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.4.0 |
| Microsoft Defender for SQL DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する | Arc 対応 SQL Server と Microsoft Defender for SQL DCR 間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| Microsoft Defender for SQL ユーザー定義 DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する | Arc 対応 SQL Server と Microsoft Defender for SQL ユーザー定義 DCR 間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.2.0 |
| Azure Defender for App Service を構成して有効にする | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database を構成して有効にする | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | DeployIfNotExists、Disabled | 1.0.1 |
| オープンソース リレーショナル データベース用 Azure Defender を構成し有効にする | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を構成して有効にする | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
| サーバー用 Azure Defender を構成して有効にする | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Defender for SQL servers on machines を構成して有効にする | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | DeployIfNotExists、Disabled | 1.0.1 |
| 基本の Microsoft Defender for Storage を有効にするように構成する (アクティビティ監視のみ) | Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーでは、基本的な Defender for Storage 機能 (アクティビティ監視) を有効にします。 アップロード時のマルウェア スキャンと機密データ脅威検出も含む、完全な保護を有効にするには、完全な有効化ポリシー (aka.ms/DefenderForStoragePolicy) を使用します。 Defender for Storage の機能と利点の詳細については、aka.ms/DefenderForStorage をご覧ください。 | DeployIfNotExists、Disabled | 1.1.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| Microsoft Defender CSPM プランを構成する | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender CSPM を有効にするように構成する | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | DeployIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Azure Cosmos DB を有効に構成する | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers プランを構成する | Defender for Containers プランには新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にするように構成する | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Microsoft Defender for Cloud を使用して Microsoft Defender for Endpoint の統合設定を構成する (WDATP_EXCLUDE_LINUX...) | Linux サーバーで MDE の自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX_... とも呼ばれます) 内で Microsoft Defender for Endpoint の統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Cloud を使用して Microsoft Defender for Endpoint の統合設定を構成する (WDATP_UNIFIED_SOLUTION) | Windows Server 2012R2 および 2016 で MDE 統合エージェントの自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION とも呼ばれます) 内で Microsoft Defender for Endpoint の統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Cloud を使用して Microsoft Defender for Endpoint の統合設定を構成する (WDATP) | MMA 経由で MDE にオンボードされた Windows ダウンレベル マシンのために、Microsoft Defender for Cloud (WDATP とも呼ばれます) 内で Microsoft Defender for Endpoint の統合設定と、Windows Server 2019、Windows Virtual Desktop 以上での MDE の自動プロビジョニングを構成します。 他の設定 (WDATP_UNIFIED など) を動作させるには、有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Key Vault プランを構成する | Microsoft Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| Microsoft Defender for Servers プランを構成する | Defender for Servers には新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| Synapse ワークスペースで Microsoft Defender for SQL を有効にするように構成する | Azure Synapse ワークスペースで Microsoft Defender for SQL を有効にして、データベースにアクセスしたり SQL データベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にするように構成する | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | DeployIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Storage を有効にするように構成する | Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーでは、すべての Defender for Storage 機能 (アクティビティ監視、マルウェア スキャン、機密データ脅威検出) を有効にします。 Defender for Storage の機能と利点の詳細については、aka.ms/DefenderForStorage をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
| Azure Monitor エージェントを自動的にインストールするように SQL Virtual Machines を構成する | Windows SQL Virtual Machines への Azure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0 |
| Microsoft Defender for SQL を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL 拡張機能を自動的にインストールするように、Windows SQL Virtual Machines を構成します。 Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.3.0 |
| Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.4.0 |
| ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.4.0 |
| SMicrosoft Defender for SQL Log Analytics ワークスペースを構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.2.0 |
| 組み込みのユーザー割り当てマネージド ID を作成して割り当てる | 組み込みのユーザー割り当てマネージド ID の作成と SQL 仮想マシンへの割り当てを大規模に行います。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| デプロイ - Azure Security Center アラートの抑制ルールを構成する | 管理グループまたはサブスクリプションに対して抑制ルールをデプロイして Azure Security Center アラートを抑制し、アラート疲れを軽減します。 | deployIfNotExists | 1.0.0 |
| Microsoft Defender for Cloud のデータについて、信頼されているサービスとしてのイベント ハブへのエクスポートをデプロイする | Microsoft Defender for Cloud データの信頼されているサービスとして、イベント ハブへのエクスポートを有効にします。 このポリシーを使用すると、信頼されているサービスとしてのイベント ハブへのエクスポート構成がデプロイされ、条件と対象イベント ハブは割り当てられたスコープに設定されます。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Cloud のデータについてイベント ハブへのエクスポートをデプロイする | Microsoft Defender for Cloud のデータについてイベント ハブへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット イベント ハブを使用して、イベント ハブ構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 4.2.0 |
| Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートをデプロイする | Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット ワークスペースを使用して、Log Analytics ワークスペース構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 4.1.0 |
| クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する | Microsoft Defender for Cloud アラートの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ | Microsoft Defender for Cloud の推奨事項の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する | Microsoft Defender for Cloud の規制コンプライアンスの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.1.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| サブスクリプションで Microsoft Defender for Cloud を有効にする | Microsoft Defender for Cloud で監視されていない既存のサブスクリプションを識別し、Defender for Cloud の無料機能で保護します。 既に監視されているサブスクリプションは、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 1.0.1 |
| カスタム ワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 | カスタム ワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 | DeployIfNotExists、Disabled | 1.0.0 |
| 既定のワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 | ASC の既定のワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 | DeployIfNotExists、Disabled | 1.0.0 |
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 | AuditIfNotExists、Disabled | 1.0.0 |
| エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています | Audit、Disabled | 1.0.2 |
| Log Analytics エージェントを Cloud Services (延長サポート) ロール インスタンスにインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Azure Cosmos DB を有効にする必要がある | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | Audit、Disabled | 1.0.1 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Security Center の Standard 価格レベルを選択する必要がある | Standard 価格レベルでは、ネットワークと仮想マシンの脅威検出が可能になり、Azure Security Center で脅威インテリジェンス、異常検出、動作分析が提供されます | Audit、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | お使いの Windows と Linux の仮想マシン スケール セットが確実にセキュリティで保護されるようにするため、インストールする必要のあるシステムのセキュリティ更新プログラムおよび重要な更新プログラムが不足していないかどうかを監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
| コンテナーのセキュリティ構成の脆弱性を修復する必要があります | Docker がインストールされているマシンのセキュリティ構成の脆弱性を監査し、Azure Security Center で推奨事項として表示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 攻撃から保護するため、お使いの仮想マシン スケール セットの OS 脆弱性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
Security Center - 詳細な価格構造
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのリソースに対して無効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択された範囲 (サブスクリプションまたはリソース グループ) において、すべてのリソース (VM、VMSS、ARC マシン) に対して Defender for Servers プランが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| 選択したタグのあるリソースに対して無効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択されたタグ名とタグ値が含まれるすべてのリソース (VM、VMSS、ARC マシン) に対して Defender for Servers プランが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| 選択したタグのあるすべてのリソースに対して有効にする ('P1' サブプラン) ように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択されたタグ名とタグ値が含まれるすべてのリソース (VM と ARC マシン) に対して Defender for Servers プランが有効になります ('P1' サブプラン)。 | DeployIfNotExists、Disabled | 1.0.0 |
| ('P1' サブプランで) すべてのリソースに対して有効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択された範囲 (サブスクリプションまたはリソース グループ) において、すべてのリソース (VM と ARC マシン) に対して Defender for Servers プランが有効になります ('P1' サブプランで)。 | DeployIfNotExists、Disabled | 1.0.0 |
Service Bus
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Service Bus の名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある | Service Bus クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus 名前空間では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Service Bus 名前空間の認証で Microsoft Entra ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Service Bus 名前空間を構成する | ローカル認証方法を無効にして、Azure ServiceBus 名前空間の認証で Microsoft Entra ID のみが要求されるようにします。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 | Modify、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するように Service Bus 名前空間を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Service Bus 名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Service Bus 名前空間を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus 名前空間ではパブリック ネットワーク アクセスを無効にする必要がある | Azure Service Bus ではパブリック ネットワーク アクセスを無効にする必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Microsoft Azure Service Bus の名前空間では二重暗号化を有効にする必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
Service Fabric
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
SignalR
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure SignalR Service では公衆ネットワーク アクセスを無効にする必要がある | Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.1.0 |
| Azure SignalR サービスで診断ログを有効にする必要がある | 診断ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure SignalR Service の認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SignalR Service では Private Link 対応の SKU を使用する必要がある | Azure Private Link を使用すると、ソースやターゲットでパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。これにより、データがパブリックに漏洩するリスクからリソースを保護できます。 このポリシーにより、Azure SignalR Service の利用が Private Link 対応の SKU に限定されます。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure SignalR Service を構成する | ローカル認証方法を無効にして、Azure SignalR Service の認証で Azure Active Directory の ID のみを要求するようにします。 | Modify、Disabled | 1.0.0 |
| Azure SignalR Service に対してプライベート エンドポイントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Azure SignalR Service リソースにプライベート エンドポイントをマッピングすると、データ漏洩のリスクを軽減できます。 詳細については、https://aka.ms/asrs/privatelink をご覧ください。 | DeployIfNotExists、Disabled | 1.0.0 |
| デプロイ - Azure SignalR Service に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure SignalR Service リソースを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/asrs/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure SignalR Service リソースを変更する | Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Modify、Disabled | 1.1.0 |
Site Recovery
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: プライベート DNS ゾーンを使用するよう Azure Recovery Services コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: プライベート エンドポイントを Azure Recovery Services コンテナーに構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Recovery Services コンテナーのサイトの回復リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクを使用するには、マネージド サービス ID を Recovery Services コンテナーに割り当てる必要があります。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Recovery Services コンテナーではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 Azure Site Recovery のプライベート リンクの詳細については、https://aka.ms/HybridScenarios-PrivateLink および https://aka.ms/AzureToAzure-PrivateLink を参照してください。 | Audit、Disabled | 1.0.0-preview |
SQL
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| MySQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | MySQL サーバーに対して Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.1.1 |
| PostgreSQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | PostgreSQL サーバーに対する Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.1 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure MySQL フレキシブル サーバーで Microsoft Entra 専用認証を有効にする必要がある | ローカル認証方法を無効にして Microsoft Entra 認証のみを許可すると、Azure MySQL フレキシブル サーバーへは Microsoft Entra の ID のみでアクセスできるようになるため、セキュリティが向上します。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります | TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit, Disabled, Deny | 2.0.0 |
| Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL 論理サーバーに要求します。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Database では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL 論理サーバーを作成することを要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL Managed Instance に要求します。 このポリシーでは、ローカル認証が有効な Azure SQL Managed Instance が作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある | 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instance では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL Managed Instance を作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| Azure Database for MariaDB サーバーで Advanced Threat Protection が有効になるように構成する | Basic サービス レベル以外の Azure Database for MariaDB サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
| Azure Database for MySQL サーバーで Advanced Threat Protection が有効になるように構成する | Basic サービス レベル以外の Azure Database for MySQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
| Azure Database for PostgreSQL サーバーで Advanced Threat Protection が有効になるように構成する | Basic サービス レベル以外の Azure Database for PostgreSQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
| SQL マネージド インスタンスで Azure Defender を有効にするように構成する | Azure SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure Defender を SQL サーバーで有効になるように構成する | Azure SQL Server で Azure Defender を有効にして、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists | 2.1.0 |
| Azure SQL データベース サーバーの診断設定を Log Analytics ワークスペースに構成する | Azure SQL Database サーバーの監査ログを有効にして、この監査を持たない SQL Server が作成または更新されたときに、Log Analytics ワークスペースにログをストリーミングします | DeployIfNotExists、Disabled | 1.0.2 |
| 公衆ネットワーク アクセスを無効にするように Azure SQL サーバーを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、パブリック接続がシャットダウンされ、Azure SQL Server にプライベート エンドポイントからのみアクセスできるようになります。 この構成により、Azure SQL Server のすべてのデータベースへの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイント接続が有効になるように Azure SQL サーバーを構成する | プライベート エンドポイント接続を使用すると、仮想ネットワーク内のプライベート IP アドレスを介した Azure SQL Database へのプライベート接続が可能になります。 この構成により、セキュリティ体制が向上し、Azure のネットワークツールとシナリオがサポートされます。 | DeployIfNotExists、Disabled | 1.0.0 |
| 監査を有効にするように SQL Server を構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 | DeployIfNotExists、Disabled | 3.0.0 |
| Log Analytics ワークスペースで監査を有効にするように SQL サーバーを構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 監査が有効になっていない場合、このポリシーでは、指定された Log Analytics ワークスペースにフローするように監査イベントを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーでは接続の調整が有効でなければならない | このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 | AuditIfNotExists、Disabled | 1.0.0 |
| デプロイ - Log Analytics ワークスペースにストリーム配信されるように SQL Database の診断設定を構成する | SQL Database の診断設定をデプロイして、この診断設定がない SQL Database が作成または更新されたときに、リソース ログが Log Analytics ワークスペースにストリーム配信されるようにします。 | DeployIfNotExists、Disabled | 4.0.0 |
| SQL サーバーで Advanced Data Security をデプロイする | このポリシーを使用して、SQL サーバーでの Advanced Data Security を有効にすることができます。 これには、脅威の検出と脆弱性評価の有効化が含まれます。 SQL サーバーと同じリージョンとリソース グループにストレージ アカウントが自動的に作成され、スキャン結果が "sqlva" プレフィックスを付けて保存されます。 | DeployIfNotExists | 1.3.0 |
| Azure SQL Database の診断設定をイベント ハブにデプロイする | Azure SQL Database の診断設定をデプロイして、この診断設定がない Azure SQL Database が作成または更新されたときにリージョンのイベント ハブにストリーム配信します。 | DeployIfNotExists | 1.2.0 |
| SQL DB Transparent Data Encryption のデプロイ | SQL データベースで Transparent Data Encryption を有効にします | DeployIfNotExists、Disabled | 2.2.0 |
| PostgreSQL データベース サーバーの切断はログに記録する必要がある。 | このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある | Azure Database for MySQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Database for PostgreSQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある | Azure Database for PostgreSQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます | Audit、Deny、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない | このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーではログ接続が有効でなければならない | このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| PostgreSQL データベース サーバーではログ期間が有効でなければならない | このポリシーは、log_duration 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| MariaDB サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MariaDB へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MariaDB にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MySQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MySQL にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| PostgreSQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for PostgreSQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for PostgreSQL にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for MySQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.1.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for PostgreSQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 3.0.1 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| 重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならない | 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要があります | AuditIfNotExists、Disabled | 1.0.0 |
| SQL データベースでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL Managed Instance にはバージョン 1.2 以上の TLS が必要 | バージョン 1.2 以降の TLS を設定すると、TLS 1.2 を使用するクライアントのみが SQL Managed Instance にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit、Disabled | 1.0.1 |
| SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 指定されたサブネットからのトラフィックを許可するには、Azure SQL Database の仮想ネットワーク ファイアウォール規則を有効にする必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure SQL Database へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 | AuditIfNotExists | 1.0.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
SQL Managed Instance
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| カスタマー マネージド キー暗号化を、Arc SQL マネージド インスタンスの CMK 暗号化の一部として使用する必要があります。 | CMK 暗号化の一部として、カスタマー マネージド キー暗号化を使用する必要があります。 詳細については、https://aka.ms/EnableTDEArcSQLMI をご覧ください。 | Audit、Disabled | 1.0.0 |
| Arc SQL マネージド インスタンスには TLS プロトコル 1.2 を使用する必要があります。 | ネットワーク設定の一部として、Microsoft は、SQL サーバーの TLS プロトコルとして TLS 1.2 のみを許可することをお勧めします。 https://aka.ms/TlsSettingsSQLServer で SQL Server のネットワーク設定の詳細について確認してください。 | Audit、Disabled | 1.0.0 |
| Arc SQL マネージド インスタンスに対しては Transparent Data Encryption を有効にする必要があります。 | Azure Arc 対応 SQL マネージド インスタンスで保存時の Transparent Data Encryption (TDE) を有効にします。 詳細については、https://aka.ms/EnableTDEArcSQLMI をご覧ください。 | Audit、Disabled | 1.0.0 |
SQL Server
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: SQL VM に対してシステム割り当て ID を有効にする | SQL 仮想マシンに対してシステム割り当て ID を大規模に有効にします。 サブスクリプション レベルでこのポリシーを割り当てる必要があります。 リソース グループ レベルで割り当てると、想定どおりに機能しません。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL ベスト プラクティス アセスメントを有効または無効にするには、SQL Server 拡張機能がインストールされた ARC 対応サーバーを構成します。 | ARC 対応サーバー上の SQL Server インスタンスで SQL ベスト プラクティス アセスメントを有効または無効にして、ベスト プラクティスを評価します。 詳細については、https://aka.ms/azureArcBestPracticesAssessment をご覧ください。 | DeployIfNotExists、Disabled | 1.0.1 |
| 対象となる Arc 対応 SQL Server インスタンスを拡張セキュリティ アップデートに登録します。 | ライセンスの種類が "有料" または "PAYG" であり対象となる Arc 対応 SQL Server インスタンスを拡張セキュリティ アップデートに登録します。 拡張セキュリティ アップデートの詳細 https://go.microsoft.com/fwlink/?linkid=2239401。 | DeployIfNotExists、Disabled | 1.0.0 |
Stack HCI
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Stack HCI サーバーは、アプリケーション制御ポリシーを一貫して適用する必要がある | 少なくとも、すべての Azure Stack HCI サーバーで Microsoft WDAC 基本ポリシーを強制モードで適用します。 適用される Windows Defender アプリケーション制御 (WDAC) ポリシーは、同じクラスター内のサーバー間で一貫している必要があります。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI サーバーは、セキュリティで保護されたコアの要件を満たす必要がある | セキュリティで保護されたコアの要件を、すべての Azure Stack HCI サーバーが満たしていることを確認します。 セキュリティで保護されたコア サーバーの要件を有効にするには: 1. Azure Stack HCI クラスター ページから Windows Admin Center に移動し、[接続] を選びます。 2. セキュリティ拡張機能に移動し、セキュリティで保護されたコアを選びます。 3. 有効になっていない設定を選び、[有効] をクリックします。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI システムでは暗号化されたボリュームを使用する必要がある | BitLocker を使って Azure Stack HCI システム上の OS とデータのボリュームを暗号化します。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI システムでホストと VM ネットワークを保護する必要がある | Azure Stack HCI ホストのネットワーク上と仮想マシン ネットワーク接続上のデータを保護します。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
Storage
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure NetApp Files SMB ボリュームでは SMB3 暗号化を使用する必要がある | データ整合性とデータ プライバシーを確保するために、SMB3 暗号化なしの SMB ボリュームの作成を禁止します。 | Audit、Deny、Disabled | 1.0.0 |
| NFSv4.1 型の Azure NetApp Files ボリュームでは、Kerberos データ暗号化を使用する必要がある | データが暗号化されるように、Kerberos プライバシー (5p) セキュリティ モードを使用することのみを許可します。 | Audit、Deny、Disabled | 1.0.0 |
| NFSv4.1 型の Azure NetApp Files ボリュームでは、Kerberos データ整合性またはデータ プライバシーを使用する必要がある | データの整合性とプライバシーを確保するために、少なくとも Kerberos 整合性 (krb5i) または Kerberos プライバシー (krb5p) が選択されていることを確認してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure NetApp Files ボリュームでは NFSv3 プロトコル タイプを使用しない | ボリュームへのセキュリティで保護されていないアクセスを防ぐために、NFSv3 プロトコル タイプの使用を禁止します。 データの整合性と暗号化を保証するには、NFS ボリュームへのアクセスに、Kerberos プロトコルを使用した NFSv4.1 を使用する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| BLOB groupID 用のプライベート DNS ゾーン ID を構成する | BLOB groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| blob_secondary groupID 用のプライベート DNS ゾーン ID を構成する | blob_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| dfs groupID 用のプライベート DNS ゾーン ID を構成する | dfs groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| dfs_secondary groupID 用のプライベート DNS ゾーン ID を構成する | dfs_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| ファイル groupID 用のプライベート DNS ゾーン ID を構成する | ファイル groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| キュー groupID 用のプライベート DNS ゾーン ID を構成する | キュー groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| queue_secondary groupID 用のプライベート DNS ゾーン ID を構成する | queue_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| テーブル groupID 用のプライベート DNS ゾーン ID を構成する | テーブル groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| table_secondary groupID 用のプライベート DNS ゾーン ID を構成する | table_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Web groupID 用のプライベート DNS ゾーン ID を構成する | Web groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| web_secondary groupID 用のプライベート DNS ゾーン ID を構成する | web_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure File Sync を構成する | 登録済みサーバーからストレージ同期サービスのリソース インターフェイスのプライベート エンドポイントにアクセスするには、プライベート エンドポイントのプライベート IP アドレスに対して正しい名前を解決するように DNS を構成する必要があります。 このポリシーを使用すると、必要な Azure プライベート DNS ゾーンと、ストレージ同期サービスのプライベート エンドポイントのインターフェイス用の A レコードが作成されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| プライベート エンドポイントを持つ Azure File Sync を構成する | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントがデプロイされます。 これにより、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 1 つ以上のプライベート エンドポイントが存在するだけでは、パブリック エンドポイントは無効になりません。 | DeployIfNotExists、Disabled | 1.0.0 |
| Blob service の診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のない Blob service が作成または更新されたときに、Blob service にその診断設定をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| ファイル サービスの診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のないファイル サービスが作成または更新されたときに、ファイル サービスにその診断設定をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| Queue サービスの診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のない Queue サービスが作成または更新されたときに、Queue サービスにその診断設定をデプロイします。 注: このポリシーは、ストレージ アカウントの作成時にトリガーされず、アカウントを更新するには修復タスクを作成する必要があります。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| ストレージ アカウントの診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のないストレージ アカウントが作成または更新されたときに、ストレージ アカウントにその診断設定をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
| Table Storage の診断設定を Log Analytics ワークスペースに構成する | Log Analytics ワークスペースにリソース ログをストリームするという診断設定のない Table Storage が作成または更新されたときに、Table Storage にその診断設定をデプロイします。 注: このポリシーは、ストレージ アカウントの作成時にトリガーされず、アカウントを更新するには修復タスクを作成する必要があります。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
| ストレージ アカウントでデータの安全な転送を構成する | 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Modify、Disabled | 1.0.0 |
| プライベート リンク接続を使用するようストレージ アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをストレージ アカウントにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするようにストレージ アカウントを構成する | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Modify、Disabled | 1.0.1 |
| ストレージ アカウントのパブリック アクセスを不許可に構成する | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | Modify、Disabled | 1.0.0 |
| BLOB のバージョン管理が有効になるようにストレージ アカウントを構成する | Blob Storage のバージョン管理を有効にし、以前のバージョンのオブジェクトを自動的に維持することができます。 BLOB のバージョン管理が有効になっている場合は、以前のバージョンの BLOB にアクセスし、変更または削除されたデータを復旧することができます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントに Defender for Storage (クラシック) をデプロイする | このポリシーを使用すると、ストレージ アカウントで Defender for Storage (クラシック) が有効になります。 | DeployIfNotExists、Disabled | 1.0.1 |
| ストレージ アカウントの geo 冗長ストレージを有効にする必要があります | Geo 冗長を使用して高可用性アプリケーションを作成します | Audit、Disabled | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure HPC Cache の保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit, Disabled, Deny | 2.0.0 |
| 変更 - 公衆ネットワーク アクセスを無効にするように Azure File Sync を構成する | Azure File Sync のインターネット アクセス可能なパブリック エンドポイントが組織のポリシーによって無効にされます。 ストレージ同期サービスには、引き続き、そのプライベート エンドポイントを介してアクセスすることができます。 | Modify、Disabled | 1.0.0 |
| 変更 - BLOB のバージョン管理が有効になるようにストレージ アカウントを構成する | Blob Storage のバージョン管理を有効にし、以前のバージョンのオブジェクトを自動的に維持することができます。 BLOB のバージョン管理が有効になっている場合は、以前のバージョンの BLOB にアクセスし、変更または削除されたデータを復旧することができます。 既存のストレージ アカウントは BLOB ストレージのバージョン管理が有効になるように変更されないことに注意してください。 BLOB のストレージ バージョン管理が有効になるのは、新しく作成されたストレージ アカウントのみです | Modify、Disabled | 1.0.0 |
| Azure File Sync の公衆ネットワーク アクセスを無効にする必要がある | パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 | Audit、Deny、Disabled | 1.0.0 |
| Queue Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Queue Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、自分で作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 ストレージ アカウントの暗号化スコープの詳細については、https://aka.ms/encryption-scopes-overview を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは、保存データに対して二重暗号化を使用する必要がある | セキュリティを強化するために、ストレージ アカウント暗号化スコープの保存時の暗号化に対して、インフラストラクチャ暗号化を有効にします。 インフラストラクチャ暗号化により、データが 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウント キーが期限切れにならないようにする必要がある | アカウント キーのセキュリティを向上させるために、キーの有効期限ポリシーが設定されている場合、ユーザー ストレージ アカウント キーが期限切れになるときにアクションを行うことによって、それらのキーが期限切れにならないようにしてください。 | Audit、Deny、Disabled | 3.0.0 |
| ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある | ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントを許可されている SKU で制限する必要がある | 組織でデプロイできるストレージ アカウント SKU のセットを制限します。 | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントで公衆ネットワーク アクセスを無効にする必要がある | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントで Shared Access Signature (SAS) ポリシーが構成されている必要がある | ストレージ アカウントで Shared Access Signature (SAS) の有効期限ポリシーが有効になっていることを確認します。 ユーザーは、SAS を使用して Azure Storage アカウント内のリソースへのアクセスを委任します。 SAS の有効期限ポリシーでは、ユーザーが SAS トークンを作成するときの有効期限の上限をお勧めしています。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントには、指定された最小 TLS バージョンが必要 | クライアント アプリケーションとストレージ アカウントの間でのセキュリティで保護された通信のために、最小 TLS バージョンを構成します。 セキュリティ リスクを最小限に抑えるために、推奨される最小 TLS バージョンは最新のリリース バージョン (現在は TLS 1.2) となります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、クロス テナント オブジェクト レプリケーションを禁止する必要がある | ストレージ アカウントのオブジェクト レプリケーションの監査制限。 規定では、ユーザーは、1 つの Azure AD テナントのソース ストレージ アカウントと、別のテナントのコピー先アカウントで、オブジェクト レプリケーションを構成できます。 顧客のデータは、顧客が所有するストレージ アカウントにレプリケートできるので、セキュリティ上の問題です。 allowCrossTenantReplication を false に設定すると、ソース アカウントとコピー先アカウントの両方が同じ Microsoft Azure Active Directory テナント内にある場合にのみ、オブジェクトのレプリケーションを設定できます。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある | ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 | Audit、Deny、Disabled | 2.0.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Table Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Table Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
Stream Analytics
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Stream Analytics ジョブでは、データの暗号化にカスタマー マネージド キーを使用する必要がある | ストレージ アカウントに Stream Analytics ジョブのメタデータとプライベート データ資産を安全に格納したい場合は、カスタマー マネージド キーを使用します。 これで、Stream Analytics データが暗号化される方法を完全に制御できるようになります。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Stream Analytics ジョブは信頼された入力と出力に接続する必要がある | Stream Analytics ジョブが、許可リストに定義されていない任意の入力または出力接続を持たないようにします。 これは、Stream Analytics ジョブが、組織外の任意のシンクに接続してデータを流出させないようにチェックするものです。 | 拒否、無効、監査 | 1.1.0 |
| Stream Analytics ジョブでは、エンドポイントを認証するためにマネージド ID を使用する必要がある | Stream Analytics ジョブがマネージド ID 認証を使用してのみエンドポイントに接続されていることを確認してください。 | 拒否、無効、監査 | 1.0.0 |
Synapse
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Synapse ワークスペースの監査を有効にする必要がある | 専用 SQL プール上のすべてのデータベースについてデータベースのアクティビティを追跡して監査ログに保存するには、Synapse ワークスペースに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse Analytics の専用 SQL プールでは、暗号化を有効にする必要がある | Azure Synapse Analytics の専用 SQL プールに対して Transparent Data Encryption を有効にすることで、保存データを保護し、コンプライアンス要件を満たします。 プールに対して Transparent Data Encryption を有効にすると、クエリのパフォーマンスに影響を与える可能性があることに注意してください。 詳細については、https://go.microsoft.com/fwlink/?linkid=2147714 を参照してください | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse ワークスペース SQL Server では TLS バージョン 1.2 以降を実行している必要がある | TLS バージョン 1.2 以降を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure Synapse ワークスペース SQL Server にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Synapse ワークスペースでは、承認済みのターゲットへの送信データ トラフィックのみを許可する必要がある | 承認済みのターゲットへの送信データ トラフィックのみを許可することで、Synapse ワークスペースのセキュリティを強化します。 データを送信する前にターゲットが検証されるので、これはデータ流出の防止に役立ちます。 | Audit, Disabled, Deny | 1.0.0 |
| Azure Synapse ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Synapse ワークスペースがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Synapse ワークスペースの公開を制限できます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、Azure Synapse ワークスペースに格納されているデータの保存時の暗号化を制御するために使用されます。 カスタマー マネージド キーを使用すると、サービス マネージド キーによる既定の暗号化の上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Synapse ワークスペース専用 SQL に最小 TLS バージョンを構成する | 顧客は、新しい Synapse ワークスペースと既存のワークスペースの両方に対して、API を使用して最小 TLS バージョンを上げたり下げたりできます。 そのため、ワークスペースで下位のクライアント バージョンを使用する必要があるユーザーも接続できます。また、セキュリティ要件を持つユーザーは最小 TLS バージョンを上げることができます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 | Modify、Disabled | 1.1.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Synapse ワークスペースを構成する | Synapse ワークスペースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するよう Azure Synapse ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Synapse ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
| プライベート エンドポイントを使用して Azure Synapse ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| 監査を有効にするように Synapse ワークスペースを構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、Synapse ワークスペースで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 | DeployIfNotExists、Disabled | 2.0.0 |
| Log Analytics ワークスペースに対して監査を有効にするように Synapse ワークスペースを構成する | SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、Synapse ワークスペースで監査が有効になっている必要があります。 監査が有効になっていない場合、このポリシーでは、指定された Log Analytics ワークスペースにフローするように監査イベントを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| 認証に Microsoft Entra の ID のみを使用するように Synapse ワークスペースを構成する | Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求し、再構成します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 ローカル認証が有効にならないように防ぎ、作成後にリソースに対する Microsoft Entra 専用認証を再度有効にします。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Modify、Disabled | 1.0.0 |
| ワークスペースの作成時に認証に Microsoft Entra の ID のみを使用するように Synapse ワークスペースを構成する | Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求し、再構成します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Modify、Disabled | 1.2.0 |
| Azure Synapse ワークスペースの IP ファイアウォール規則を削除する必要がある | IP ファイアウォール規則をすべて削除すると、Azure Synapse ワークスペースへのアクセス手段がプライベート エンドポイントに限定され、セキュリティが向上します。 ワークスペースのパブリック ネットワーク アクセスを許可するファイアウォール規則の作成が、この構成によって監査されます。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースのマネージド ワークスペース仮想ネットワークを有効にする必要がある | マネージド ワークスペース仮想ネットワークを有効にすると、そのワークスペースが他のワークスペースから分離されたネットワークであることが保証されます。 また、この仮想ネットワークにデプロイされるデータ統合と Spark リソースによって、Spark のアクティビティに関してユーザー レベルの分離性が確保されます。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse マネージド プライベート エンドポイントは、承認された Azure Active Directory テナント内のリソースにのみ接続する必要がある | 承認された Azure Active Directory (Azure AD) テナント内のリソースへの接続のみを許可することによって、Synapse ワークスペースを保護します。 承認された Azure AD テナントは、ポリシーの割り当て中に定義できます。 | Audit, Disabled, Deny | 1.0.0 |
| Synapse ワークスペースの監査設定では、重要なアクティビティをキャプチャするようにアクション グループを構成する必要がある | 監査ログを確実に可能な限り詳細なものにするには、AuditActionsAndGroups プロパティに関連するすべてのグループが含まれている必要があります。 少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、および BATCH_COMPLETED_GROUP を追加することをお勧めします。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse ワークスペースでは Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse ワークスペースはワークスペース作成時に認証に Microsoft Entra の ID のみを使用する必要がある | Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| ストレージ アカウント ターゲットに対する Synapse ワークスペースの SQL 監査データの保持期間を 90 日以上でに設定する必要がある | インシデント調査を目的として、Synapse ワークスペースの SQL 監査のストレージ アカウント ターゲットのデータ保持期間を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
システム ポリシー
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 許可されているリソース デプロイ リージョン | このポリシーは、サブスクリプションがリソースをデプロイできる最適なリージョンのセットを保持します。 このポリシーの目的は、サブスクリプションが最適なパフォーマンスで Azure サービスにフル アクセスできるようにすることです。 追加または異なるリージョンが必要な場合は、サポートにお問い合わせください。 | 拒否 | 1.0.0 |
タグ
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リソース グループにタグを追加する | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| リソースにタグを追加する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 リソース グループのタグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションにタグを追加する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加します。 タグに異なる値が含まれている場合、タグは変更されません。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | 変更 | 1.0.0 |
| リソース グループのタグを追加または置換する | 任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 | 変更 | 1.0.0 |
| リソースのタグを追加または置換する | 任意のリソースが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 リソース グループのタグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションのタグを追加または置換する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | 変更 | 1.0.0 |
| タグとその値をリソース グループから追加 | このタグがない任意のリソースが作成または更新されたときに、リソース グループの指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.0 |
| タグとその値のリソース グループへの追加 | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソース グループが変更されるまで、このポリシーが適用される前に作成されたリソース グループのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.0 |
| タグとその値をリソースに追加する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 リソース グループには適用されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.1 |
| リソース グループからタグを継承する | 任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 | 変更 | 1.0.0 |
| 存在しない場合は、リソース グループからタグを継承する | このタグがない任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションからタグを継承する | 任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 | 変更 | 1.0.0 |
| 存在しない場合は、サブスクリプションからタグを継承する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| リソース グループでタグとその値を必須にする | リソース グループで必要なタグとその値を強制します。 | deny | 1.0.0 |
| タグとその値がリソースに必要 | 必要なタグとその値を強制的に適用します。 リソース グループには適用されません。 | deny | 1.0.1 |
| リソース グループでタグを必須にする | リソース グループでタグの存在を強制します。 | deny | 1.0.0 |
| リソースでタグを必須にする | タグの存在を強制します。 リソース グループには適用されません。 | deny | 1.0.1 |
| リソースに特定のタグがないようにする必要があります。 | 指定されたタグを含むリソースの作成を拒否します。 リソース グループには適用されません。 | Audit、Deny、Disabled | 2.0.0 |
トラステッド起動
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ディスクと OS イメージで TrustedLaunch をサポートする必要があります | TrustedLaunch は、OS ディスクと OS イメージを必要とする仮想マシンのセキュリティを向上させます(Gen 2)。 TrustedLaunch の詳細については、https://aka.ms/trustedlaunch にアクセスします | Audit、Disabled | 1.0.0 |
| 仮想マシンで TrustedLaunch を有効にする必要があります | 仮想マシンで TrustedLaunch を有効にしてセキュリティを強化します。TrustedLaunch をサポートする VM SKU (Gen 2) を使用します。 TrustedLaunch の詳細については、https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch にアクセスします | Audit、Disabled | 1.0.0 |
VirtualEnclaves
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ネットワーク ACL バイパス構成のみを使用してネットワーク アクセスを制限するようにストレージ アカウントを構成します。 | ストレージ アカウントのセキュリティを強化するには、ネットワーク ACL バイパスを介してのみアクセスを有効にします。 このポリシーは、ストレージ アカウント アクセス用のプライベート エンドポイントと組み合わせて使用する必要があります。 | Modify、Disabled | 1.0.0 |
| 許可リスト以外でのリソースの種類の作成を許可しない | このポリシーにより、仮想エンクレーブ内のセキュリティを維持するために、明示的に許可された種類以外のリソースの種類がデプロイされるのを防ぐことができます。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
| 特定のプロバイダーでの指定されたリソースの種類または型の作成を許可しない | パラメーター リストで指定されたリソース プロバイダーおよびリソースの種類は、セキュリティ チームの明示的な承認なしに作成することはできません。 ポリシー割り当ての除外が付与される場合、エンクレーブ内でリソースを利用できます。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
| ネットワーク インターフェイスを、承認された仮想ネットワークの承認されたサブネットに接続する必要がある | このポリシーは、承認されていない仮想ネットワークまたはサブネットにネットワーク インターフェイスが接続されるのをブロックします。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、ネットワーク ACL バイパス構成のみを使用してネットワーク アクセスを制限する必要があります。 | ストレージ アカウントのセキュリティを強化するには、ネットワーク ACL バイパスを介してのみアクセスを有効にします。 このポリシーは、ストレージ アカウント アクセス用のプライベート エンドポイントと組み合わせて使用する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
VM Image Builder
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
Web PubSub
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Web PubSub サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Web PubSub サービスがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Azure Web PubSub サービスの公開を制限できます。 詳細については、https://aka.ms/awps/networkacls を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub サービスで診断ログを有効にする必要がある | 診断ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Web PubSub サービスではローカルの認証方法を無効にする必要がある | ローカルの認証方法を無効にすると、Azure Web PubSub サービスで Azure Active Directory ID のみを認証に使用できるようになるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先でパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| ローカル認証を無効にするように Azure Web PubSub サービスを構成する | ローカルの認証方法を無効にして、Azure Web PubSub サービスで Azure Active Directory ID のみを認証に使用できるようにします。 | Modify、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Web PubSub サービスを構成する | Azure Web PubSub リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/awps/networkacls を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Web PubSub サービスを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Web PubSub サービスに解決されます。 詳細については、https://aka.ms/awps/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Web PubSub サービスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。