このページは、Azure Arcが有効なサーバーのAzure Policy組み込みのポリシー定義のインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Azure Arc対応サーバー
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | Audit、Disabled | 1.0.0-preview |
| このポリシーは、Windows Server 2019、2022、2025 コンピューター (AZURE VM と Arc 対応マシン) での SSH サーバーセキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windowsを参照してください。 | AuditIfNotExists、Disabled | 1.1.0-preview | |
| [プレビュー]: Windows Recovery Environment (WinRE) が有効になっていないWindowsマシンを監査します | Windowsマシンを監査して、Windows Recovery Environment (WinRE) が有効になっているかどうかを確認します | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Automanage 構成プロファイルの割り当ては Conformant である必要がある | Automanage によって管理されるリソースの状態は Conformant または ConformantCorrected である必要があります。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Linux Arc マシンにインストールする必要がある | Linux Arc マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能は、Windows Arc コンピューターにインストールする必要があります | Windows Arc マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| このポリシーでは、Windows Server 2019、2022、2025 マシン (AZURE VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windowsを参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview | |
| [プレビュー]: Windows コンピューターで Windows Recovery Environment (WinRE) を構成します | ゲスト構成の割り当てを作成して、Windows コンピューターで Windows Recovery Environment (WinRE) を有効にします。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| Windows Serverでローカル ユーザーの無効化を構成するゲスト構成の割り当てを作成します。 これにより、Windows サーバーは、AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧からのみアクセスでき、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.3.0-preview | |
| [プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスの作成または変更を拒否する。 | このポリシーを使用すると、Windows Server 2012 Arc マシンの ESU ライセンスの作成または変更を制限できます。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | 拒否、無効 | 1.0.0-preview |
| [プレビュー]: Linux ハイブリッド マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | Linux ハイブリッド マシンMicrosoft Defender for Endpointエージェントをデプロイする | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: Windows Azure Arc マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | Windows Azure Arc マシンにMicrosoft Defender for Endpointをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後でも、Windows 2012 マシンを保護します。 AzureArc を通じてWindows Server 2012の拡張セキュリティ更新プログラムを配信する準備をする方法については、https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates を参照してください。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview | |
| Windows Server 2012 Arc マシンには、Microsoftによってリリースされたすべての拡張セキュリティ更新プログラムがインストールされている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [プレビュー]: Linux マシンは、Docker ホストのAzure セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホストのAzure セキュリティ ベースラインの推奨事項のいずれかに対して、マシンが正しく構成されていません。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンが STIG コンプライアンス要件の推奨事項の 1 つに対して正しく構成されていない場合、コンピューター Azure準拠していません。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: OMI がインストールされている Linux マシンには、バージョン 1.6.8-1 以降が必要である | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Linux ワークロードは公式の CIS セキュリティ ベンチマークに準拠する必要がある | このポリシーでは、監査目的で CIS セキュリティ ベンチマークをカスタマイズし、Azure、オンプレミス、ハイブリッド環境全体の Linux ワークロードにデプロイする機能を提供します。 CIS セキュリティ ベンチマークの内容は、 https://cisecurity.orgで公開されているベンチマークと同等です。ポリシーは azure-osconfig によって提供されます。 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Nexus コンピューティング マシンはセキュリティ ベースラインを満たす必要がある | 監査に Azure Policy ゲスト構成エージェントを使用します。 このポリシーにより、マシンは Nexus コンピューティング セキュリティ ベースラインに確実に準拠でき、さまざまな脆弱性や安全でない構成に対してマシンを強化するように設計されたさまざまな推奨事項が含まれます (Linux のみ)。 | AuditIfNotExists、Disabled | 1.1.0-preview |
| このポリシーを使用すると、監査目的で CIS セキュリティ ベンチマークをカスタマイズし、Azure、オンプレミス、ハイブリッド環境全体のWindows Serverに展開できます。 CIS セキュリティ ベンチマークの内容は、 https://cisecurity.orgで公開されているベンチマークと同等です。前提条件がポリシー割り当てスコープに展開されている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [プレビュー]: Windowsマシンは、Azure コンピューティングの STIG コンプライアンス要件を満たす必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンが STIG のコンピューティングのコンプライアンス要件の推奨事項の 1 つに対して正しく構成されていない場合、マシンは非準拠Azure。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 指定されたアプリケーションがインストールされていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 指定されたアプリケーションがインストールされている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
| Linux の SSH セキュリティ態勢の監査 (powered by OSConfig) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) 上の SSH サーバー セキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| Administrators グループ内の指定されたメンバーのいずれかが存在しないマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| Audit Windows マシンのネットワーク接続 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| DSC 構成が準拠していないコンピューター Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus コンピューターの DSC 構成が準拠していないと返された場合、マシンは非準拠です。 | auditIfNotExists | 3.0.0 |
| Log Analytics エージェントが正常に接続されていないコンピューター Windowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定したサービス Windowsがインストールされていないコンピューターと 'Running' | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンドの結果 Get-Service ポリシー パラメーターで指定された状態と一致するサービス名が含まれていない場合、マシンは非準拠です。 | auditIfNotExists | 3.0.0 |
| シリアル コンソールが有効になっていないコンピューター Windows Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可するマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定した数の一意のパスワードの後にパスワードの再利用を許可するマシンWindows場合、マシンは非準拠です。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| 指定されたドメインに参加していないマシンWindowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定したタイム ゾーンに設定されていないマシンWindowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 4.0.0 |
| 指定した日数以内に期限切れになる証明書を含むコンピューター Windowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
| 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 | |
| パスワードの最大有効期間が指定された日数に設定されていないマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最大有効期間が指定した日数に設定されていないマシンWindows場合、マシンは非準拠です。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最小有効期間が指定された日数に設定されていないマシンWindowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最小有効期間が指定した日数に設定されていないマシンWindows場合、マシンは非準拠です。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの複雑さの設定が有効になっていないコンピューターをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていないコンピューター Windows場合、マシンは非準拠です | AuditIfNotExists、Disabled | 2.0.0 |
| 指定された powerShell 実行ポリシーを持たないマシンWindows Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy がポリシー パラメーターで選択された値以外の値を返す場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
| 指定した Windows Windows PowerShell モジュールがインストールされていないコンピューター | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
| パスワードの最小文字数を指定した文字数に制限しないコンピューターをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最小長を指定した文字数に制限しないマシンWindows場合、マシンは非準拠です。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターは、元に戻せる暗号化を使用してパスワードを格納しないコンピューター Windows場合は非準拠です | AuditIfNotExists、Disabled | 2.0.0 | |
| 指定したアプリケーションがインストールされていないコンピューター Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\ のいずれかのレジストリ パスにアプリケーション名が見つからない場合、マシンは準拠していません。CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| Administrators グループに追加のアカウントを持つマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| Audit Windows指定した日数以内に再起動されていないマシン | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定したアプリケーションがインストールされているコンピューター Windowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\ のいずれかのレジストリ パスにある場合、マシンは準拠していません。CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| Administrators グループに指定されたメンバーを持つマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 再起動が保留中の VM をWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターの再起動が保留中の場合、コンポーネント ベースのサービス、Windows Update、保留中のファイル名の変更、保留中のコンピューター名変更、構成マネージャーの再起動が保留中の場合、マシンは非準拠です。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 SSH 経由で Azure Linux 仮想マシンに対して認証するための最も安全なオプションは、公開キーと秘密キーのペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Azure Arc Private Link スコープはプライベート エンドポイントで構成する必要があります | Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントを Azure Arc Private Link スコープにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Arc Private Linkスコープはパブリック ネットワーク アクセスを無効にする必要があります | パブリック ネットワーク アクセスを無効にすると、Azure Arc リソースがパブリック インターネット経由で接続できなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Azure Arc リソースの公開が制限される可能性があります。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 Azure Arc有効なサーバーをプライベート エンドポイントで構成されたAzure Arc Private Link スコープにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 | |
| ARC 対応サーバー上の SQL Server インスタンスで SQL ベスト プラクティス アセスメントを有効または無効にして、ベスト プラクティスを評価します。 詳細については、https://aka.ms/azureArcBestPracticesAssessment をご覧ください。 | DeployIfNotExists、Disabled | 1.0.1 | |
| エージェントを自動的にインストールするための Arc 対応 SQL Server の構成Azure Monitor | Windows Arc 対応 SQL Server での Azure Monitor Agent 拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0 |
| arc 対応 SQL Server Windows構成して、SQL エージェントのMicrosoft Defenderを自動的にインストールします。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.2.0 | |
| Log Analytics ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするように Arc 対応 SQL Server を構成します | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループ、データ収集規則、Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.6.0 |
| ユーザー定義の LA ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするように Arc 対応 SQL Server を構成します | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.8.0 |
| データ収集規則の関連付けを使用した Arc 対応 SQL Server の SQL DCR のMicrosoft Defenderの構成 | Arc 対応 SQL Server と SQL DCR のMicrosoft Defenderの間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| データ収集規則の関連付けを使用して Arc 対応 SQL Server を構成し、SQL ユーザー定義 DCR をMicrosoft Defenderします | Arc 対応 SQL Server と SQL ユーザー定義 DCR のMicrosoft Defender間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.3.0 |
| パブリック ネットワーク アクセスを無効にするスコープAzure Arc Private Link構成します | 関連付けられているAzure Arc リソースがパブリック インターネット経由でAzure Arc サービスに接続できないように、Azure Arc Private Link スコープのパブリック ネットワーク アクセスを無効にします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート エンドポイントを使用してAzure Arc Private Linkスコープを構成する | プライベート エンドポイントは、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続します。 プライベート エンドポイントを Azure Arc Private Link スコープにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
| 自動アップグレードを有効にするAzure Arc対応サーバーの構成 | 自動アップグレード機能を使用すると、オプトイン後もユーザーからの操作なしでサーバーを更新できます。 このポリシーにより、Azure Arc対応サーバーが自動アップグレードにオプトインするように構成されます。 | Modify、Disabled | 1.0.0 |
| Azure Arc Private Link スコープを使用するためのAzure Arc対応サーバーの構成 | Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 Azure Arc有効なサーバーをプライベート エンドポイントで構成されたAzure Arc Private Link スコープにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
| Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーでは、選択したスコープ (サブスクリプションまたはリソース グループ) 内のすべてのリソース (VM、VMSS、ARC マシン) に対するサーバー プランのDefenderが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 選択したタグを持つリソース (リソース レベル) で無効にするサーバーのAzure Defenderを構成します | Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーでは、選択したタグ名とタグ値を持つすべてのリソース (VM、VMSS、ARC マシン) のサーバー プランのDefenderが無効になります。 | DeployIfNotExists、Disabled | 1.1.0 |
| 選択したタグを持つすべてのリソース (リソース レベル) に対して有効にするサーバーのAzure Defender ('P1' サブプラン) を構成します | Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーでは、選択したタグ名とタグ値を持つすべてのリソース (VM と ARC マシン) に対して、サーバー プラン ('P1' サブプランを使用) のDefenderが有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーにより、選択したスコープ (サブスクリプションまたはリソース グループ) 内のすべてのリソース (VM と ARC マシン) に対して、サーバープランのDefender ("P1" サブプランを使用) が有効になります。 | DeployIfNotExists、Disabled | 1.1.0 | |
| Linux Arc マシン用に ChangeTracking 拡張機能を構成する | Azure Security Centerでファイル整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux Arc マシンを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、Disabled | 2.1.0 |
| Windows Arc マシン用の ChangeTracking 拡張機能の構成 | Windows Arc マシンを構成して ChangeTracking 拡張機能を自動的にインストールし、Azure Security Centerでファイルの整合性の監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、Disabled | 2.1.0 |
| 有効な Linux サーバー上の依存関係エージェントAzure Arc構成します | Dependency Agent 仮想マシン拡張機能をインストールして、Arc 対応サーバーを介してAzureに接続されているサーバーとマシンで VM 分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.1.0 |
| Azure Monitoring Agent 設定を使用Azure Arc有効な Linux サーバー上の依存関係エージェントの構成 | Azure Monitoring Agent 設定を使用して Dependency Agent 仮想マシン拡張機能をインストールすることで、Arc 対応サーバーを介してAzureに接続されているサーバーとマシンで VM 分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
| 有効なWindows サーバー上の依存関係エージェントAzure Arc構成します | Dependency Agent 仮想マシン拡張機能をインストールして、Arc 対応サーバーを介してAzureに接続されているサーバーとマシンで VM 分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.1.0 |
| 監視エージェントの設定が有効なWindows サーバー上Azure Arc依存関係エージェントAzure構成します | Azure Monitoring Agent 設定を使用して Dependency Agent 仮想マシン拡張機能をインストールすることで、Arc 対応サーバーを介してAzureに接続されているサーバーとマシンで VM 分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
| Linux Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.1 |
| ChangeTracking とインベントリのデータ収集ルールに関連付ける Linux Arc 対応マシンを構成する | 指定したデータ収集ルールに Linux Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| エージェントを実行するための Linux Arc 対応マシン Azure Monitorの構成 | ゲスト OS からテレメトリ データを収集するために、Linux Arc 対応マシンへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
| ChangeTracking および Inventory 用に AMA をインストールするように Linux Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするために、Linux Arc 対応マシンへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0 |
| Linux マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 6.8.0 |
| ローカル ユーザーを無効にするように Linux サーバーを構成する。 | Linux サーバーでローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 これにより、Linux サーバーは、AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧からのみアクセスできるため、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.4.0-preview |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defenderには、追加料金なしでコンピューターの脆弱性スキャンが含まれます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defenderによって Qualys 脆弱性評価プロバイダーが、まだインストールされていないサポートされているすべてのマシンに自動的に展開されます。 | DeployIfNotExists、Disabled | 4.0.0 |
| Azure Arc 対応サーバーで不足しているシステム更新プログラムの定期的なチェックを構成する | Azure Arc対応サーバー上の OS 更新プログラムの自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 Windowsの詳細については、linux の https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode。 | modify | 2.3.0 |
| Windows マシンでのセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) の構成 | 指定したセキュリティで保護されたプロトコル バージョン (TLS 1.1 または TLS 1.2) Windowsコンピューター上に構成するゲスト構成の割り当てを作成します。 | DeployIfNotExists、Disabled | 1.1.0 |
| Linux の SSH セキュリティ態勢を設定 (powered by OSConfig) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を監査および構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| SQL Log Analytics ワークスペースのMicrosoft Defenderを構成します | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとLog Analyticsワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.5.0 |
| このポリシーでは、ゲスト構成の割り当てを作成して、Windows仮想マシンに指定されたタイム ゾーンを設定します。 | deployIfNotExists | 3.1.0 | |
| Azure Automanageは、microsoft クラウド導入フレームワーク for Azure で定義されているベスト プラクティスを使用して仮想マシンを登録、構成、監視します。 このポリシーを使用して、選択したスコープに自動管理を適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 | |
| カスタム構成プロファイルを使用してAzure Automanageにオンボードする仮想マシンを構成する | Azure Automanageは、microsoft クラウド導入フレームワーク for Azure で定義されているベスト プラクティスを使用して仮想マシンを登録、構成、監視します。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| データ収集ルールまたはデータ収集エンドポイントに関連付ける Arc Machines Windows構成します | 関連付けをデプロイして、Arc マシンWindows指定したデータ収集ルールまたは指定したデータ収集エンドポイントにリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.4.0 |
| Windows Arc 対応マシンを ChangeTracking および Inventory のデータ収集ルールに関連付ける構成 | 関連付けを展開して、Arc 対応マシンWindows指定したデータ収集ルールにリンクして、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| Windows Arc 対応マシンを構成して、AMA for ChangeTracking と Inventory をインストールします | ChangeTracking と Inventory を有効にするために、Windows Arc 対応マシンへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| エージェントを Azure Monitor実行するための Arc 対応マシンWindows構成 | ゲスト OS からテレメトリ データを収集するために、Windows Arc 対応マシンへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.6.0 |
| データ収集規則またはデータ収集エンドポイントに関連付けるコンピューター Windows構成します | 関連付けをデプロイして、Windows仮想マシン、仮想マシン スケール セット、および Arc マシンを、指定したデータ収集ルールまたは指定したデータ収集エンドポイントにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.8.0 |
| Linux Arc 対応マシンには、Azure Monitor エージェントがインストールされている必要があります | Linux Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティ保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーでは、サポートされているリージョンの Arc 対応マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 1.2.0 |
| Linux マシンは、Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 2.3.1 |
| Linux マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directoryを使用してユーザー アカウントを管理することは、ID を管理するためのベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| Linux マシンでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Linux サーバーが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧によってのみアクセスできることを検証し、全体的なセキュリティ体制を改善するためです。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| Windows サーバーでローカル認証方法を無効にする必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Windows サーバーが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧によってのみアクセスできることを検証し、全体的なセキュリティ体制を改善するためです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 Windowsの AssessmentMode プロパティの詳細については、linux の https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.9.0 |
| AzureのAzure Update Managerを使用すると、定期的な展開スケジュールを保存して、Azure、オンプレミス環境、およびAzure Arc対応サーバーを使用して接続されている他のクラウド環境に、Windows Serverおよび Linux マシンのオペレーティング システム更新プログラムをインストールできます。 このポリシーでは、Azure仮想マシンのパッチ モードも "AutomaticByPlatform" に変更されます。 詳細情報: https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.14.0 | |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 対象となる Arc 対応 SQL Server インスタンスを拡張セキュリティ アップデートに登録します。 | ライセンスの種類が "有料" または "PAYG" であり対象となる Arc 対応 SQL Server インスタンスを拡張セキュリティ アップデートに登録します。 拡張セキュリティ アップデートの詳細 https://go.microsoft.com/fwlink/?linkid=2239401。 | DeployIfNotExists、Disabled | 1.0.0 |
| システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.1 |
| レガシ Log Analytics拡張機能は、有効な Linux サーバー Azure Arcインストールしないでください | レガシ エージェントから Azure Monitor エージェントへの移行の最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に防止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーは、有効な Linux サーバー上のレガシ エージェント拡張機能の今後のインストールAzure Arcすべて拒否します。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics拡張機能は、有効なWindows サーバー Azure Arcインストールしないでください | レガシ エージェントから Azure Monitor エージェントへの移行の最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に防止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーは、有効なWindows サーバー上のレガシ エージェント拡張機能の今後のインストールAzure Arcすべて拒否します。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| Windows Arc 対応マシンには Azure Monitor Agent がインストールされている必要があります | Windows Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティ保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされているリージョンWindows Arc 対応マシンは、Azure Monitor エージェントのデプロイについて監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 1.4.0 |
| Windows Defender Exploit Guard をマシンで有効にする必要があります | Exploit Guard Windows Defenderは、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃で一般的に使用される動作をブロックするように設計された 4 つのコンポーネントがあり、企業はセキュリティ リスクと生産性の要件のバランスを取ることができます (Windowsのみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windowsコンピューターは、セキュリティで保護された通信プロトコルを使用するように構成する必要があります | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windowsマシンは、1 日以内に保護署名を更新するようにWindows Defenderを構成する必要があります | 新しくリリースされたマルウェアに対して適切な保護を提供するには、Windows Defender保護署名を定期的に更新して、新しくリリースされたマルウェアを考慮する必要があります。 このポリシーは Arc 接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windowsマシンはリアルタイム保護Windows Defender有効にする必要があります | Windowsマシンでは、Windows Defenderのリアルタイム保護を有効にして、新しくリリースされたマルウェアに対する適切な保護を提供する必要があります。 このポリシーは Arc 接続されているサーバーには適用できず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windowsマシンは、入力のパーソナル化とロック画面の有効化を防止するために、カテゴリ "管理用テンプレート - コントロール パネル" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、自動ログオン、スクリーン セーバー、ネットワーク動作、安全な DLL、およびイベント ログのカテゴリ "管理用テンプレート - MSS (レガシ)" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決のカテゴリ [管理用テンプレート - ネットワーク] に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、管理エクスペリエンスとリモート アシスタンスを制御する設定のカテゴリ "管理用テンプレート - システム" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、空のパスワードとゲスト アカウントの状態のローカル アカウントの使用を制限するために、カテゴリ "セキュリティ オプション - アカウント" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、監査ポリシー サブカテゴリを強制し、セキュリティ監査をログに記録できない場合にシャットダウンするための、カテゴリ "セキュリティ オプション - 監査" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ログオン、印刷ドライバーのインストール、メディアの書式設定/取り出しを行わずにドッキングを解除するために、カテゴリ "セキュリティ オプション - デバイス" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、最後のユーザー名を表示し、ctrl キーを押しながら alt キーを押しながら del キーを押す必要がある場合は、カテゴリ "セキュリティ オプション - 対話型ログオン" にグループ ポリシー設定を指定する必要があります。このポリシーでは、ゲスト構成の前提条件がポリシー割り当てスコープに展開されている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ネットワーク クライアント/サーバーと SMB v1 のカテゴリ "セキュリティ オプション - Microsoft ネットワーク クライアント" に指定されたグループ ポリシー設定Microsoft必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンは、SMB v1 サーバーを無効にするためのカテゴリ "セキュリティ オプション - Microsoft ネットワーク サーバー" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、匿名ユーザー、ローカル アカウント、レジストリへのリモート アクセスを含めるために、カテゴリ "セキュリティ オプション - ネットワーク アクセス" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ローカル システムの動作、PKU2U、LAN マネージャー、LDAP クライアント、NTLM SSP など、カテゴリ "セキュリティ オプション - ネットワーク セキュリティ" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、フロッピー コピーとすべてのドライブとフォルダーへのアクセスを許可するために、カテゴリ "セキュリティ オプション - 回復コンソール" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンは、ログオンせずにシャットダウンを許可し、仮想メモリのページファイルをクリアするために、カテゴリ "セキュリティ オプション - シャットダウン" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、非Windows サブシステムと内部システム オブジェクトのアクセス許可に対する不注意の場合は、カテゴリ "セキュリティ オプション - システム オブジェクト" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、SRP およびオプション のサブシステムの実行可能ファイルに対する証明書規則のカテゴリ "セキュリティ オプション - システム設定" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、管理者向けのモード、昇格プロンプトの動作、ファイルとレジストリの書き込みエラーの仮想化に関するカテゴリ [セキュリティ オプション - ユーザー アカウント制御] に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、パスワード履歴、年齢、長さ、複雑さ、および元に戻せる暗号化を使用したパスワードの格納に関するカテゴリ "セキュリティ設定 - アカウント ポリシー" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターでは、資格情報の検証やその他のアカウント ログオン イベントを監査するために、カテゴリ "システム監査ポリシー - アカウント ログオン" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、アプリケーション、セキュリティ、およびユーザー グループ管理、およびその他の管理イベントを監査するためのカテゴリ "システム監査ポリシー - アカウント管理" にグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、DPAPI、プロセスの作成/終了、RPC イベント、PNP アクティビティを監査するためのカテゴリ "システム監査ポリシー - 詳細な追跡" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオン/ログオフ イベントを監査するためのカテゴリ "システム監査ポリシー - ログオン/ログオフ" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、監査ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、およびその他のシステムの種類のカテゴリ "システム監査ポリシー - オブジェクト アクセス" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、システム監査ポリシーに対する変更を監査するために、カテゴリ "システム監査ポリシー - ポリシーの変更" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、非センシティブおよびその他の特権の使用を監査するために、カテゴリ "システム監査ポリシー - 特権の使用" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、IPsec ドライバー、システムの整合性、システム拡張機能、状態変更、およびその他のシステム イベントを監査するために、カテゴリ "システム監査ポリシー - システム" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、ローカルでのログオン、RDP、ネットワークからのアクセス、およびその他の多くのユーザー アクティビティを許可するために、カテゴリ "ユーザー権利の割り当て" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、およびその他のWindows動作のカテゴリ "Windows コンポーネント" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、ファイアウォールの状態、接続、ルール管理、および通知のカテゴリ "Windows ファイアウォールのプロパティ" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows マシンは、Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 2.1.1 |
| Windowsマシンには許可されているローカル アカウントのみが必要です | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 または 2012 R2 ではサポートされていません。 Azure Active Directoryを使用してユーザー アカウントを管理することは、ID を管理するためのベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- Azure Policy定義の効果を確認します。