Azure Policy の組み込みイニシアチブの定義
このページは、Azure Policy の組み込みイニシアチブの定義のインデックスです。
各組み込みの名前は、Azure Policy GitHub リポジトリのイニシアチブ定義ソースにリンクされています。 組み込みは、metadata 内の category プロパティごとにグループ化されています。 特定のカテゴリにジャンプするには、ページの右側にあるメニューを使用します。 それ以外では、Ctrl-F キーを押して、ブラウザーの検索機能を使用してください。
Cosmos DB
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| Azure Cosmos DB スループット ポリシーを有効にする | 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の Azure Cosmos DB リソースのスループット制御を有効にします。 パラメーターとして最大スループットを使用します。 このポリシーを使用すると、リソースプロバイダーを介してスループット制御を適用できます。 | 2 | 1.0.0 |
ゲスト構成
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: [プレビュー]: 仮想マシンでゲスト構成ポリシーを有効にするための前提条件を、ユーザー割り当てマネージド ID を使用してデプロイする | このイニシアチブでは、ゲスト構成ポリシーによる監視の対象になる資格のある仮想マシンに、ユーザー割り当てマネージド ID が追加され、プラットフォームに適したゲスト構成拡張機能がデプロイされます。 これはすべてのゲスト構成ポリシーに対する前提条件であるため、ゲスト構成ポリシーを使用する前にポリシー割り当てスコープに割り当てる必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 3 | 1.0.0-preview |
| [プレビュー]: [プレビュー]: Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | このイニシアチブでは、Azure コンピューティング セキュリティ ベースラインを満たしていない設定で Windows マシンを監査します。 詳細については、https://aka.ms/gcpol を参照してください。 | 29 | 2.0.1-preview |
| セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査する | このイニシアティブはポリシー要件をデプロイし、セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査します。 ゲスト構成ポリシーの詳細については、https://aka.ms/gcpol にアクセスしてください | 9 | 1.0.0 |
| 仮想マシンでゲスト構成ポリシーを有効にするための前提条件をデプロイする | このイニシアチブでは、ゲスト構成ポリシーによる監視の対象になる資格のある仮想マシンに、システム割り当てマネージド ID が追加され、プラットフォームに適したゲスト構成拡張機能がデプロイされます。 これはすべてのゲスト構成ポリシーに対する前提条件であるため、ゲスト構成ポリシーを使用する前にポリシー割り当てスコープに割り当てる必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 4 | 1.0.0 |
Kubernetes
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティ ベースライン標準 | このイニシアチブには、Kubernetes クラスター ポッドのセキュリティ ベースライン標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | 5 | 1.2.0 |
| Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティで制限された標準 | このイニシアチブには、Kubernetes クラスター ポッドのセキュリティで制限された標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | 8 | 2.3.0 |
監視
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: [プレビュー]: 仮想マシンで Azure Defender for SQL エージェントを構成する | Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 このポリシーは、少数のリージョンの VM にのみ適用されます。 | 2 | 1.0.0-preview |
| [プレビュー]: [プレビュー]: 仮想マシンに Azure Monitor および Azure セキュリティ エージェントを自動的にインストールするようにマシンを構成する | Azure Monitor および Azure セキュリティ エージェントを自動的にインストールするようにマシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 監査レコードを保存するマシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 このポリシーは、少数のリージョンの VM にのみ適用されます。 | 7 | 3.0.0-preview |
| [プレビュー]: [プレビュー]: AMA で Azure Monitor for Hybrid VMs を有効にする | AMA を使用するハイブリッド仮想マシンに対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして受け取り、プロセスと依存関係を有効にするオプションを要求します。 | 5 | 2.1.1-preview |
| [プレビュー]: [プレビュー]: Azure Monitor エージェント (AMA) で Azure Monitor for VMs を有効にする | AMA を使用して仮想マシン (VM) に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして受け取り、プロセスと依存関係を有効にするオプションを要求します。 | 6 | 1.1.1-preview |
| [プレビュー]: [プレビュー]: Azure Monitor エージェント (AMA) で Azure Monitor for VMSS を有効にする | AMA を使用して仮想マシン スケール セット (VMSS) に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして受け取り、プロセスと依存関係を有効にするオプションを要求します。 | 6 | 1.1.1-preview |
| Azure Monitor エージェントを実行し、データ収集ルールに関連付けるように Linux マシンを構成する | Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールにマシンを関連付けることで、Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンの監視とセキュリティ保護を行います。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) でデプロイが実行されます。 | 4 | 2.0.0 |
| Azure Monitor エージェントを実行し、データ収集ルールに関連付けるように Windows マシンを構成する | Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールにマシンを関連付けることで、Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンの監視とセキュリティ保護を行います。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) でデプロイが実行されます。 | 4 | 2.0.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用する Linux Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける | ユーザー割り当てマネージド ID 認証を使用する Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールを関連付けることで、Linux 仮想マシンと仮想マシン スケール セットを監視します。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) で Azure Monitor エージェントのデプロイが実行されます。 | 5 | 1.0.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用する Windows Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける | ユーザー割り当てマネージド ID 認証を使用する Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールを関連付けることで、Windows 仮想マシンと仮想マシン スケール セットを監視します。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) で Azure Monitor エージェントのデプロイが実行されます。 | 5 | 1.0.0 |
| レガシ - Virtual Machine Scale Sets 用の Azure Monitor を有効にする | レガシ - 指定されたスコープ (管理グループ、サブスクリプション、またはリソース グループ) 内の Virtual Machine Scale Sets に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして取得します。 「Azure Monitor for VMSS for Azure Monitoring Agent(AMA) を有効にする」という名前の新しいイニシアチブを使用します。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | 6 | 1.0.2 |
| レガシ - Azure Monitor for VMs を有効にする | レガシ - 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の仮想マシン (VM) に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして取得します。 「Azure Monitoring Agent (AMA) で Azure Monitor for VMs を有効にする」という名前の新しいイニシアチブを使用します | 10 | 2.0.1 |
ネットワーク
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成し有効にする必要がある | フロー ログが構成されているかどうか、フロー ログの状態が有効になっているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | 2 | 1.0.0 |
規制コンプライアンス
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: [プレビュー]: Australian Government ISM PROTECTED | このイニシアチブには、Australian Government Information Security Manual (ISM) のコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/auism-initiative を参照してください。 | 55 | 8.0.0 プレビュー |
| [プレビュー]: [プレビュー]: CMMC 2.0 レベル 2 | このイニシアチブには、CMMC 2.0 レベル 2 プラクティスのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cmmc2l2-initiative を参照してください。 | 256 | 2.0.0-preview |
| [プレビュー]: [プレビュー]: アメリカ映画協会 (MPAA) | このイニシアティブには、アメリカ映画協会 (MPAA) のセキュリティとガイドラインのコントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/mpaa-init を参照してください。 | 36 | 4.0.3-preview |
| [プレビュー]: [プレビュー]: インド準備銀行 - NBFC 向けの IT フレームワーク | このイニシアティブには、ノンバンク金融会社 (NBFC) 向けのインド準備銀行 IT フレームワークのコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/rbiitfnbfc-initiative を参照してください。 | 143 | 2.0.0-preview |
| [プレビュー]: [プレビュー]: RMIT マレーシア | このイニシアチブには、RMIT 要件のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、aka.ms/rmit-initiative をご覧ください。 | 216 | 9.0.0-preview |
| [プレビュー]: [プレビュー]: SWIFT CSP-CSCF v2020 | このイニシアチブには、SWIFT CSP-CSCF v2020 コントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2020-init を参照してください。 | 59 | 6.0.0-preview |
| [プレビュー]: [プレビュー]: SWIFT CSP-CSCF v2021 | このイニシアティブには、SWIFT Customer Security Program の Customer Security Controls Framework v2021 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2021-init を参照してください。 | 140 | 4.0.0-preview |
| [プレビュー]: [プレビュー]: SWIFT CSP-CSCF v2022 | このイニシアティブには、SWIFT Customer Security Program の Customer Security Controls Framework v2022 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2022-init を参照してください。 | 97 | 1.0.0-preview |
| カナダ連邦の PBMM | このイニシアチブには、カナダ連邦の PBMM コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/canadafederalpbmm-init を参照してください。 | 57 | 8.0.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | このイニシアティブには、CIS Microsoft Azure Foundations Benchmark の推奨事項のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cisazure110-initiative を参照してください。 | 86 | 15.0.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.3.0 コントロールのサブセットに対処します。 詳細については、 https://aka.ms/cisazure130-initiative にアクセスしてください | 183 | 8.0.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.4.0 コントロールのサブセットに対処します。 詳細については、 https://aka.ms/cisazure130-initiative にアクセスしてください | 182 | 1.1.0 |
| CMMC レベル 3 | このイニシアティブには、サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 3 の要件のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cmmc-initiative を参照してください。 | 170 | 11.0.0 |
| FedRAMP High | このイニシアチブには、FedRAMP High コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/fedramph-initiative を参照してください。 | 245 | 16.0.0 |
| FedRAMP (中) | このイニシアチブには、FedRAMP Moderate コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/fedrampm-initiative を参照してください。 | 245 | 16.0.0 |
| HITRUST/HIPAA | このイニシアチブには、HITRUST/HIPAA コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/hipaa-init を参照してください。 | 115 | 13.0.0 |
| IRS1075 September 2016 | このイニシアチブには、IRS1075 September 2016 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/irs1075-init を参照してください。 | 60 | 8.0.0 |
| ISO 27001:2013 | このイニシアチブには、ISO 27001:2013 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/iso27001-init を参照してください。 | 50 | 7.0.0 |
| New Zealand ISM Restricted | このイニシアティブには、ニュージーランド情報セキュリティ マニュアルのコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/nzism-initiative を参照してください。 | 134 | 11.0.0 |
| New Zealand ISM Restricted v3.5 | このイニシアティブには、ニュージーランド情報セキュリティ マニュアル v3.5 のコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/nzism-initiative を参照してください。 | 172 | 2.0.1 |
| NIST SP 800-171 Rev. 2 | このイニシアチブには、NIST SP 800-171 Rev. 2 要件のサブセットに対応するポリシーが含まれています。 ポリシーは、今後のリリースで追加または削除される可能性があります。 詳細については、https://aka.ms/nist800171r2-initiative を参照してください。 | 247 | 14.0.0 |
| NIST SP 800-53 Rev. 4 | このイニシアチブには、NIST SP 800-53 Rev. 4 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/nist800-53r4-initiative を参照してください。 | 974 | 16.0.1 |
| NIST SP 800-53 Rev. 5 | このイニシアチブには、NIST SP 800-53 Rev. 5 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/nist800-53r5-initiative を参照してください。 | 955 | 13.0.0 |
| PCI v3.2.1:2018 | このイニシアチブには、PCI v3.2.1:2018 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/pciv321-init を参照してください。 | 36 | 6.0.0 |
| UK OFFICIAL および UK NHS | このイニシアティブには、UK OFFICIAL および UK NHS コントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/ukofficial-init と https://aka.ms/uknhs-init を参照してください。 | 57 | 9.0.0 |
SDN
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| パブリック ネットワーク アクセスの監査 | パブリック インターネットからのアクセスを許可する Azure リソースを監査する | 36 | 4.0.0 |
| サポートされているすべての Azure リソースで Private Link の使用状況を評価する | 準拠しているリソースには、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です | 30 | 1.0.0 |
Security Center
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: [プレビュー]: Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するようにマシンを構成する | Azure Monitor および Azure セキュリティ エージェントを自動的にインストールするようにマシンを構成します。 Microsoft Defender for Cloud では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 監査レコードを保存するマシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット マシンが存在する必要があります。 | 13 | 1.0.1 - プレビュー |
| [プレビュー]: [プレビュー]: Azure Monitor エージェントを使用して ユーザー定義の Microsoft Defender for Cloud パイプラインを作成するようにマシンを構成する | Azure Monitor および Azure セキュリティ エージェントを自動的にインストールするようにマシンを構成します。 Microsoft Defender for Cloud では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザーが指定した Log Analytics ワークスペースを使用して、監査レコードを保存します。 ユーザーが指定した Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 サポートされている場所にターゲット マシンが存在する必要があります。 | 13 | 1.0.1 - プレビュー |
| [プレビュー]: [プレビュー]: Microsoft Defender for Endpoint エージェントのデプロイ | 適用対象のイメージに Microsoft Defender for Endpoint エージェントをデプロイします。 | 4 | 1.0.0-preview |
| Azure セキュリティ ベンチマーク | Azure セキュリティ ベンチマーク イニシアティブは、Azure セキュリティ ベンチマーク v3 で定義されているセキュリティの推奨事項を導入するポリシーとコントロールを表します。https://aka.ms/azsecbm を参照してください。 これは、Microsoft Defender for Cloud の既定のポリシー イニシアチブとしても機能します。 このイニシアティブを直接割り当てるか、または、そのポリシーとコンプライアンスの結果を Microsoft Defender for Cloud 内で管理できます。 | 205 | 54.1.0 |
| オープンソース リレーショナル データベースで Advanced Threat Protection が有効になるように構成します | 非基本層のオープンソース リレーショナル データベースで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティが検出されるようにします。 「https://aka.ms/AzDforOpenSourceDBsDocu」を参照してください。 | 3 | 1.0.1 |
| SQL Server および SQL Managed Instance で Azure Defender を有効にするように構成する | SQL Server と SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 | 3 | 3.0.0 |
| Microsoft Defender for Databases が有効になるように構成する | Azure SQL Database、Managed Instance、オープン ソース リレーショナル データベース、および Cosmos DB を保護するように Microsoft Defender for Databases を構成します。 | 4 | 1.0.0 |
トラステッド起動
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: [プレビュー]: トラステッド起動が有効な VM でゲスト構成証明を有効にするように前提条件を構成する | ゲスト構成証明拡張機能を自動的にインストールし、システム割り当てのマネージド ID を有効にすることで Azure Security Center でブート整合性を予防的に証明し、監視できるよう、トラステッド起動が有効な仮想マシンを構成します。 リモート構成証明により、ブートの整合性が証明されます。 詳細については、リンク https://aka.ms/trustedlaunch を参照してください | 7 | 3.0.0-preview |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。