Azure Arc 対応サーバーの Azure Policy 組み込み定義
このページは、Azure Arc 対応サーバーの Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: Automanage 構成プロファイルの割り当ては Conformant である必要がある | Automanage によって管理されるリソースの状態は Conformant または ConformantCorrected である必要があります。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Security エージェントをお使いの Linux Arc マシンにインストールする必要がある | Linux Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Security エージェントをお使いの Windows Arc マシンにインストールする必要がある | Windows Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking 拡張機能を Linux Arc マシンにインストールする必要がある | Linux Arc マシンにChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking 拡張機能を Windows Arc マシンにインストールする必要がある | Windows Arc マシンにChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Linux マシンを構成する | Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Linux マシンを保護します。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Windows マシンを構成する | Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Windows マシンを保護します。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: Linux Arc マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux Arc マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Windows Arc マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows Arc マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Linux Arc 対応マシンを構成する | 指定したデータ収集ルールに Linux Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Linux Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Linux Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0-preview |
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Linux Arc マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Windows Arc マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Windows Arc 対応マシンを構成する | 指定したデータ収集ルールに Windows Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Windows Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Windows Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ローカル ユーザーを無効にするように Windows Server を構成する。 | Windows Server でローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 このポリシーにより、AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Windows Server に確実にアクセスできるようになるため、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスの作成または変更を拒否する。 | このポリシーを使用すると、Windows Server 2012 Arc マシンの ESU ライセンスの作成または変更を制限できます。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | Deny、Disabled | 1.0.0-preview |
[プレビュー]: Linux ハイブリッド マシンに Microsoft Defender for Endpoint エージェントをデプロイする | Linux ハイブリッド マシンに Microsoft Defender for Endpoint エージェントをデプロイします | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[プレビュー]: Windows Azure Arc マシンに Microsoft Defender for Endpoint エージェントをデプロイする | Windows Azure Arc マシンに Microsoft Defender for Endpoint をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後も Windows 2012 マシンが保護されるようにする。 | 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後も Windows 2012 マシンが保護されるようにします。 Azure Arc を使用した Windows Server 2012 用の拡張セキュリティ更新プログラムの配信を準備する方法については、https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates を参照してください。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 拡張セキュリティ更新プログラムを Windows Server 2012 Arc マシンにインストールする必要がある。 | Windows Server 2012 Arc マシンには、Microsoft によってリリースされたすべての拡張セキュリティ更新プログラムがインストールされている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Linux マシンは Docker ホスト向けの Azure セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホスト向けの Azure セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていません。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: OMI がインストールされている Linux マシンには、バージョン 1.6.8-1 以降が必要である | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[プレビュー]: Nexus コンピューティング マシンはセキュリティ ベースラインを満たす必要がある | 監査に Azure Policy ゲスト構成エージェントを利用します。 このポリシーにより、マシンは Nexus コンピューティング セキュリティ ベースラインに確実に準拠でき、さまざまな脆弱性や安全でない構成に対してマシンを強化するように設計されたさまざまな推奨事項が含まれます (Linux のみ)。 | AuditIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: Windows マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについてマシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定されたアプリケーションがインストールされていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定されたアプリケーションがインストールされている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
Linux の SSH セキュリティ体制の監査 (OSConfig を利用) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) 上の SSH サーバー セキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、次を参照してください。 https://aka.ms/SshPostureControlOverview | AuditIfNotExists、Disabled | 1.0.1 |
Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
Windows マシンのネットワーク接続を監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
DSC 構成が準拠していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus から、マシンの DSC 構成が準拠していないという情報が返された場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたサービスがインストールされて '実行中' になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-Service の結果に、ポリシー パラメーターの指定と一致する状態のサービス名が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
Windows Serial Console が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
指定されたドメインに参加していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたタイム ゾーンに設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
指定された Windows PowerShell 実行ポリシーのない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy によって、ポリシー パラメーターで選択された値以外の値が返された場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
指定された Windows PowerShell モジュールがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
指定されたアプリケーションがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のどのレジストリ パスにも見つからない場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
Administrators グループに余分なアカウントがある Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定した日数以内に再起動されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたアプリケーションがインストールされている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のいずれかのレジストリ パスに見つかった場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
再起動が保留中の Windows VM の監査 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
Azure Arc プライベート リンク スコープはプライベート エンドポイントを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Arc リソースがパブリック インターネット経由で接続できなくなるため、セキュリティが強化されます。 プライベート エンドポイントを作成すると、Azure Arc リソースの公開を制限できます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Arc 対応サーバーは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
SQL ベスト プラクティス アセスメントを有効または無効にするには、SQL Server 拡張機能がインストールされた ARC 対応サーバーを構成します。 | ARC 対応サーバー上の SQL Server インスタンスで SQL ベスト プラクティス アセスメントを有効または無効にして、ベスト プラクティスを評価します。 詳細については、https://aka.ms/azureArcBestPracticesAssessment をご覧ください。 | DeployIfNotExists、Disabled | 1.0.1 |
Azure Monitor エージェントを自動的にインストールするように Arc 対応 SQL Server を構成する | Windows Arc 対応 SQL Server への Azure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0 |
Microsoft Defender for SQL を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL エージェントを自動的にインストールするように Windows Arc 対応 SQL Server を構成します。 Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.2.0 |
Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.5.0 |
ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.7.0 |
Microsoft Defender for SQL DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する | Arc 対応 SQL Server と Microsoft Defender for SQL DCR 間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.1.0 |
Microsoft Defender for SQL ユーザー定義 DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する | Arc 対応 SQL Server と Microsoft Defender for SQL ユーザー定義 DCR 間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.3.0 |
Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効に構成する | Azure arc プライベート リンク スコープのパブリック ネットワーク アクセスを無効にして、関連付けられている Azure Arc リソースがパブリック インターネット経由で Azure Arc サービスに接続できないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Arc プライベート リンク スコープを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応サーバーを構成する | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
すべてのリソースに対して無効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択された範囲 (サブスクリプションまたはリソース グループ) において、すべてのリソース (VM、VMSS、ARC マシン) に対して Defender for Servers プランが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
選択したタグのあるリソースに対して無効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択されたタグ名とタグ値が含まれるすべてのリソース (VM、VMSS、ARC マシン) に対して Defender for Servers プランが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
選択したタグのあるすべてのリソースに対して有効にする ('P1' サブプラン) ように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択されたタグ名とタグ値が含まれるすべてのリソース (VM と ARC マシン) に対して Defender for Servers プランが有効になります ('P1' サブプラン)。 | DeployIfNotExists、Disabled | 1.0.0 |
('P1' サブプランで) すべてのリソースに対して有効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択された範囲 (サブスクリプションまたはリソース グループ) において、すべてのリソース (VM と ARC マシン) に対して Defender for Servers プランが有効になります ('P1' サブプランで)。 | DeployIfNotExists、Disabled | 1.0.0 |
Azure Arc が有効な Linux サーバー上で依存関係エージェントを構成する | 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.1.0 |
Azure Monitoring Agent 設定を使用して Azure Arc 対応の Linux サーバーで Dependency Agent を構成する | Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
Azure Arc が有効な Windows サーバー上で依存関係エージェントを構成する | 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.1.0 |
Azure Monitoring Agent 設定を使用して Azure Arc 対応の Windows サーバーで Dependency Agent を構成する | Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
Linux Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.1 |
Azure Monitor エージェントを実行するように Linux Arc 対応マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
Linux マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 6.5.1 |
ローカル ユーザーを無効にするように Linux サーバーを構成する。 | Linux サーバーでローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 これにより、このポリシーでは AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Linux サーバーにアクセスできるようになり、全体的なセキュリティ態勢が向上します。 | DeployIfNotExists、Disabled | 1.3.0-preview |
Azure Arc が有効な Linux サーバー上で Log Analytics 拡張機能を構成する。 下記の非推奨の通知を参照してください。 | Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | DeployIfNotExists、Disabled | 2.1.1 |
Azure Arc が有効な Windows サーバー上で Log Analytics 拡張機能を構成する | Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 2.1.1 |
脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
Azure Arc 対応サーバーで不足しているシステム更新プログラムの定期的なチェックを構成する | Azure Arc 対応サーバーの OS の更新に対して、自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | 変更 | 2.3.0 |
Windows マシンにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する | Windows マシンにセキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当てを作成します。 | DeployIfNotExists、Disabled | 1.0.1 |
Linux の SSH セキュリティ体制を構成する (OSConfig を利用) | このポリシーでは、Linux マシン (Azure VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を監査および構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、次を参照してください。 https://aka.ms/SshPostureControlOverview | DeployIfNotExists、Disabled | 1.0.1 |
SMicrosoft Defender for SQL Log Analytics ワークスペースを構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.4.0 |
Windows マシンでタイム ゾーンを構成する。 | このポリシーは、指定されたタイム ゾーンを Windows 仮想マシンに設定するためのゲスト構成の割り当てを作成します。 | deployIfNotExists | 2.1.0 |
Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、選択したスコープに自動管理を適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
カスタム構成プロファイルを使用して Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
Windows Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.1 |
Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
Windows マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.5.1 |
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 | AuditIfNotExists、Disabled | 1.0.0 |
Linux Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある | Linux Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーでは、サポートされているリージョンの Arc 対応マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 1.2.0 |
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux マシンでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Linux サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.2.0-preview |
Windows サーバーでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Windows サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 AssessmentMode プロパティの詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.7.0 |
Azure Update Manager を使用して定期的な更新をスケジュールする | Azure Update Manager を使用すると、Azure、オンプレミス環境、Azure Arc 対応サーバーを使用して接続されている他のクラウド環境に、Windows Server および Linux マシン用のオペレーティング システム更新プログラムをインストールするために、定期的なデプロイ スケジュールを保存できます。 また、このポリシーでは、Azure 仮想マシンのパッチ モードが "AutomaticByPlatform" に変更されます。 詳細情報: https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.12.0 |
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
対象となる Arc 対応 SQL Server インスタンスを拡張セキュリティ アップデートに登録します。 | ライセンスの種類が "有料" または "PAYG" であり対象となる Arc 対応 SQL Server インスタンスを拡張セキュリティ アップデートに登録します。 拡張セキュリティ アップデートの詳細 https://go.microsoft.com/fwlink/?linkid=2239401。 | DeployIfNotExists、Disabled | 1.0.0 |
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.1 |
レガシ Log Analytics 拡張機能を Azure Arc 対応 Linux サーバーにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能のアンインストール後、このポリシーによって今後、Azure Arc 対応 Linux サーバーにレガシ エージェント拡張機能をインストールすることが拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
レガシ Log Analytics 拡張機能を Azure Arc 対応 Windows サーバーにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能のアンインストール後、このポリシーによって今後、Azure Arc 対応 Windows サーバーにレガシ エージェント拡張機能をインストールすることが拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
Windows Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある | Windows Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされているリージョンの Windows Arc 対応マシンは、Azure Monitor エージェントのデプロイで監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 1.2.0 |
マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある | 新たに現れるマルウェアから適切に保護するには、新たに現れたマルウェアを考慮するために、Windows Defender 保護署名を定期的に更新する必要があります。 このポリシーは Arc 接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある | 新たに現れるマルウェアから適切に保護するために、Windows マシンで Windows Defender のリアルタイム保護を有効にする必要があります。 このポリシーは Arc 接続されているサーバーには適用できず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンは [管理用テンプレート - コントロール パネル] の要件を満たしている必要がある | Windows マシンには、入力の個人用設定とロック画面の有効化防止について、カテゴリ [管理用テンプレート - コントロール パネル] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - MSS (レガシ)] の要件を満たしている必要がある | Windows マシンには、自動ログオン、スクリーン セーバー、ネットワークの動作、安全な DLL、イベント ログについて、カテゴリ [管理用テンプレート - MSS (レガシ)] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - ネットワーク] の要件を満たしている必要がある | Windows マシンには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決について、カテゴリ [管理用テンプレート - ネットワーク] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - システム] の要件を満たしている必要がある | Windows マシンには、管理エクスペリエンスおよび Remote Assist を制御する設定について、カテゴリ [管理用テンプレート - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | Windows コンピューターでは、空白のパスワードとゲスト アカウント状態でのローカル アカウントの使用を制限するため、[セキュリティ オプション - アカウント] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | Windows マシンには、セキュリティ監査をログに記録できない場合に監査ポリシー サブカテゴリを強制的に適用してシャットダウンすることについて、カテゴリ [セキュリティ オプション - 監査] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - デバイス] の要件を満たしている必要がある | Windows マシンには、ログオンなしのドッキング解除、プリント ドライバーのインストール、メディアのフォーマットと取り出しについて、カテゴリ [セキュリティ オプション - デバイス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク クライアント] の要件を満たしている必要がある | Windows コンピューターには、Microsoft ネットワーク クライアントおよび SMB v1 について、カテゴリ [セキュリティ オプション - Microsoft ネットワーク クライアント] で設定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | Windows コンピューターでは、SMB v1 サーバーを無効にするため、[セキュリティ オプション - Microsoft ネットワーク サーバー] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | Windows マシンには、匿名ユーザーやローカル アカウントへのアクセスと、レジストリへのリモート アクセスを含むことについて、カテゴリ [セキュリティ オプション - ネットワーク アクセス] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | すべてのドライブおよびフォルダーのフロッピー コピーとアクセスを可能にするため、[セキュリティ オプション - 回復コンソール] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - シャットダウン] の要件を満たしている必要がある | Windows マシンには、ログオンなしのシャットダウンと仮想マシン ページファイルのクリアについて、カテゴリ [セキュリティ オプション - シャットダウン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - システム オブジェクト] の要件を満たしている必要がある | Windows マシンには、Windows システムではないサブシステムのための大文字と小文字の区別をしないこと、および内部システム オブジェクトのアクセス許可について、カテゴリ [セキュリティ オプション - システム オブジェクト] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - システム設定] の要件を満たしている必要がある | Windows マシンには、SRP およびオプションのサブシステム用の実行可能ファイルに関する証明書の規則について、カテゴリ [セキュリティ オプション - システム設定] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | Windows マシンには、管理者用のモード、昇格時のプロンプトの動作、ファイル仮想化とレジストリ書き込みのエラーについて、カテゴリ [セキュリティ オプション - ユーザー アカウント制御] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | Windows マシンには、パスワードの履歴、有効期間、長さ、複雑さ、暗号化を元に戻せる状態での保存について、カテゴリ [セキュリティ オプション - アカウント ポリシー] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - アカウント ログオン] の要件を満たしている必要がある | Windows マシンには、資格情報の検証およびその他のアカウント ログオン イベントの監査について、カテゴリ [システム監査ポリシー - アカウント ログオン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | Windows マシンには、アプリケーション、セキュリティ、ユーザー グループ管理、その他の管理イベントを監査することについて、カテゴリ [システム監査ポリシー - アカウント管理] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | Windows マシンには、DPAPI、プロセスの作成と終了、RPC イベント、PNP アクティビティを監査することについて、カテゴリ [システム監査ポリシー - 詳細追跡] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - ログオン/ログオフ] の要件を満たしている必要がある | Windows マシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオンとログオンのイベントの監査について、カテゴリ [システム監査ポリシー - ログオン/ログオフ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - オブジェクト アクセス] の要件を満たしている必要がある | Windows マシンには、ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、その他の種類のシステムに関する監査について、カテゴリ [システム監査ポリシー - オブジェクト アクセス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | Windows マシンには、システム監査ポリシーの監査について、カテゴリ [システム監査ポリシー - ポリシーの変更] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | Windows マシンには、重要でない特権およびその他の特権の使用に関する監査について、カテゴリ [システム監査ポリシー - 特権の使用] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - システム] の要件を満たしている必要がある | Windows マシンには、IPsec ドライバー、システムの整合性、システム拡張、状態変更、その他のシステム イベントの監査について、カテゴリ [システム監査ポリシー - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | ローカル ログオン、RDP、ネットワークからのアクセス、その他多くのユーザー アクティビティを許可するため、Windows マシンでは、[ユーザー権利の割り当て] カテゴリに指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [Windows コンポーネント] の要件を満たしている必要がある | Windows マシンには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、Windows のその他の動作について、カテゴリ [Windows コンポーネント] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 および 2012 R2 ではサポートされていません。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。