このページは、Azure Policy の組み込みイニシアティブの定義のインデックスです。
各組み込みの名前は、Azure Policy GitHub リポジトリのイニシアチブ定義ソースにリンクされています。 組み込みは、metadata の category プロパティによってグループ化されています。 特定の category に移動するには、ブラウザーの検索機能 Ctrl-F キーを使用してください。
Automanage
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: Automanage に対する構成の監査のベスト プラクティス | Automanage マシンのベスト プラクティスにより、マネージド リソースは割り当てられた構成プロファイルで定義されている目的の状態に従って確実に設定されます。 | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| Arc 対応仮想マシンの ChangeTracking とインベントリを有効にする | Arc 対応仮想マシンの ChangeTracking とインベントリを有効にします。 パラメーターとしてデータ収集ルール ID を受け取り、該当する場所を入力するためのオプションの指定を求めます。 | 6 | 1.1.0 |
| 仮想マシン スケール セットの ChangeTracking とインベントリを有効にする | 仮想マシン スケール セットの ChangeTracking とインベントリを有効にします。 パラメーターとしてデータ収集ルール ID を受け取り、該当する場所を入力するためのオプションと、Azure Monitor エージェントのユーザー割り当て ID の指定を求めます。 | 7 | 1.1.1 |
| 仮想マシンの ChangeTracking とインベントリを有効にする | 仮想マシンの ChangeTracking とインベントリを有効にします。 パラメーターとしてデータ収集ルール ID を受け取り、該当する場所を入力するためのオプションと、Azure Monitor エージェントのユーザー割り当て ID の指定を求めます。 | 7 | 1.2.0 |
Cosmos DB(コスモス DB)
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| Azure Cosmos DB スループット ポリシーを有効にする | 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の Azure Cosmos DB リソースのスループット制御を有効にします。 パラメーターとして最大スループットを使用します。 このポリシーを使用すると、リソースプロバイダーを介してスループット制御を適用できます。 | 2 | 1.0.0 |
全般
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| 使用量コストのリソースを許可する | MCPP、M365 を除くリソースのデプロイを許可します。 | 2 | 1.0.0 |
ゲスト構成
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: 仮想マシンでゲスト構成ポリシーを有効にするための前提条件を、ユーザー割り当てマネージド ID を使用してデプロイする | このイニシアティブでは、ゲスト構成ポリシーによる監視の対象になる仮想マシンに、ユーザー割り当てマネージド ID が追加され、プラットフォームに適したゲスト構成拡張機能がデプロイされます。 これはすべてのゲスト構成ポリシーに対する前提条件であるため、ゲスト構成ポリシーを使用する前にポリシー割り当てスコープに割り当てる必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 3 | 1.0.0-preview |
| [プレビュー]: Windows マシンは Azure コンピューティング セキュリティ ベースラインの要件を満たす必要がある | このイニシアティブでは、Azure コンピューティング セキュリティ ベースラインを満たしていない設定の Windows マシンを監査します。 詳細については、https://aka.ms/gcpol を参照してください | 二十九 | 2.0.1-preview |
| セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査する | このイニシアティブはポリシー要件をデプロイし、セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査します。 ゲスト構成ポリシーの詳細については、https://aka.ms/gcpol を参照してください | 9 | 1.1.0 |
| Windows マシン (前提条件を含む) にセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する | Windows マシンに、セキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当て (前提条件を含む) を作成します。 詳細については、https://aka.ms/SetSecureProtocol を参照してください | 3 | 1.0.0 |
| 仮想マシンでゲスト構成ポリシーを有効にするための前提条件をデプロイする | このイニシアティブでは、ゲスト構成ポリシーによる監視の対象になる仮想マシンに、システム割り当てマネージド ID が追加され、プラットフォームに適したゲスト構成拡張機能がデプロイされます。 これはすべてのゲスト構成ポリシーに対する前提条件であるため、ゲスト構成ポリシーを使用する前にポリシー割り当てスコープに割り当てる必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 4 | 1.0.0 |
Kubernetes
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: イメージの整合性を使用して、信頼されたイメージのみがデプロイされるようにする | AKS クラスター上で Image Integrity と Azure Policy のアドオンを有効にすることで、Image Integrity を使って、AKS クラスターが信頼できるイメージのみをデプロイするようにします。 Image Integrity を使ってデプロイ時にイメージが署名されているかどうかを検証するには、Image Integrity アドオンと Azure Policy アドオンの両方が前提条件です。 詳しくは、https://aka.ms/aks/image-integrity を参照してください。 | 3 | 1.1.0-preview |
| [プレビュー]: デプロイ セーフガードは、AKS で推奨されるベスト プラクティスに向けて開発者をガイドするのに役立つ必要がある | Azure Kubernetes Service (AKS) によって推奨される Kubernetes のベスト プラクティスのコレクション。 最適なエクスペリエンスを得るために、デプロイ セーフガードを使用して、このポリシー イニシアティブ (https://aka.ms/aks/deployment-safeguards) を割り当てます。 AKS 用 Azure Policy アドオンは、これらのベスト プラクティスをクラスターに適用するための前提条件です。 Azure Policy アドオンを有効にする手順については、aka.ms/akspolicydoc を参照してください | 21 (二十一) | 2.0.0-preview |
| [プレビュー]: Kubernetes クラスターは、Center for Internet Security (CIS) Kubernetes ベンチマークのセキュリティ制御に関する推奨事項に従う必要があります | このイニシアチブには、Center for Internet Security (CIS) Kubernetes ベンチマークのセキュリティに関する推奨事項のポリシーが含まれています。このイニシアチブを使用して、CIS Kubernetes ベンチマークに準拠し続けることができます。 CIS コンプライアンスの詳細については、以下を参照してください。 https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-preview |
| Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティ ベースライン標準 | このイニシアティブには、Kubernetes クラスター ポッドのセキュリティ ベースライン標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | 5 | 1.4.0 |
| Linux ベースのワークロード用の Kubernetes クラスター ポッドのセキュリティで制限された標準 | このイニシアティブには、Kubernetes クラスター ポッドのセキュリティで制限された標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | 8 | 2.5.0 |
マネージド ID
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: マネージド ID フェデレーション資格情報は、承認されたフェデレーション ソースから承認された種類である必要がある | マネージド ID のフェデレーション資格情報の使用を制御します。 このイニシアティブには、フェデレーション ID 資格情報を完全にブロックし、特定のフェデレーション プロバイダーの種類に使用を制限して、フェデレーション再承認を承認されたソースに制限するポリシーが含まれています。 | 3 | 1.0.0-preview |
監視
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: 仮想マシンで Azure Defender for SQL エージェントを構成する | Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 このポリシーは、少数のリージョンの VM にのみ適用されます。 | 2 | 1.0.0-preview |
| Azure Monitor エージェントを実行し、データ収集ルールに関連付けるように Linux マシンを構成する | Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールにマシンを関連付けることで、Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンの監視とセキュリティ保護を行います。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) でデプロイが実行されます。 | 4 | 3.2.0 |
| Azure Monitor エージェントを実行し、データ収集ルールに関連付けるように Windows マシンを構成する | Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールにマシンを関連付けることで、Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンの監視とセキュリティ保護を行います。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) でデプロイが実行されます。 | 4 | 3.2.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用する Linux Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける | ユーザー割り当てマネージド ID 認証を使用する Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールを関連付けることで、Linux 仮想マシンと仮想マシン スケール セットを監視します。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) で Azure Monitor エージェントのデプロイが実行されます。 | 5 | 2.3.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用する Windows Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける | ユーザー割り当てマネージド ID 認証を使用する Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールを関連付けることで、Windows 仮想マシンと仮想マシン スケール セットを監視します。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) で Azure Monitor エージェントのデプロイが実行されます。 | 5 | 2.3.0 |
| サポートされているリソースについて、イベント ハブへの allLogs カテゴリ グループ リソース ログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアティブでデプロイされる、allLogs カテゴリ グループを使用する診断設定では、サポートされているすべてのリソースのログがイベント ハブにルーティングされます。 | 140 | 1.0.0 |
| サポートされているリソースについて、Log Analytics への allLogs カテゴリ グループ リソース ログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアティブでデプロイされる、allLogs カテゴリ グループを使用する診断設定では、サポートされているすべてのリソースのログがイベント ハブにルーティングされます | 140 | 1.0.0 |
| サポートされているリソースについて、ストレージへの allLogs カテゴリ グループ リソース ログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアティブでデプロイされる、allLogs カテゴリ グループを使用する診断設定では、サポートされているすべてのリソースのログがストレージにルーティングされます。 | 140 | 1.0.0 |
| サポートされているリソースについて、イベント ハブへの監査カテゴリ グループ リソース ログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアティブでは、監査カテゴリ グループを使用して診断設定をデプロイし、サポートされているすべてのリソースのログをイベント ハブにルーティングします | 69 | 1.1.0 |
| サポートされているリソースについて、Log Analytics への監査カテゴリ グループ リソース ログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアティブでは、監査カテゴリ グループを使用して診断設定をデプロイし、サポートされているすべてのリソースのログを Log Analytics にルーティングします。 | 69 | 1.1.0 |
| サポートされているリソースについて、ストレージへの監査カテゴリ グループ リソース ログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアティブでは、監査カテゴリ グループを使用して診断設定をデプロイし、サポートされているすべてのリソースのログをストレージにルーティングします。 | 69 | 1.1.0 |
| AMA で Azure Monitor for Hybrid VMs を有効にする | AMA を使用してハイブリッド仮想マシンに対して Azure Monitor を有効にします。 | 6 | 1.0.0 |
| Azure Monitor エージェント (AMA) で Azure Monitor for VMs を有効にする | AMA を使用して仮想マシン (VM) に対して Azure Monitor を有効にします。 | 7 | 1.2.0 |
| Azure Monitor エージェント (AMA) で Azure Monitor for VMSS を有効にする | AMA を使用して仮想マシン スケール セット (VMSS) に対して Azure Monitor を有効にします。 | 7 | 1.2.0 |
| レガシ - Virtual Machine Scale Sets 用の Azure Monitor を有効にする | レガシ - 指定されたスコープ (管理グループ、サブスクリプション、またはリソース グループ) 内の Virtual Machine Scale Sets に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして取得します。 「Azure Monitor for VMSS for Azure Monitoring Agent(AMA) を有効にする」という名前の新しいイニシアチブを使用します。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | 4 | 1.1.0 |
| レガシ - Azure Monitor for VMs を有効にする | レガシ - 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の仮想マシン (VM) に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして取得します。 ”Azure Monitoring Agent (AMA) で Azure Monitor for VMs を有効にする" という名前の新しいイニシアティブを使用します | 8 | 2.1.0 |
ネットワーク
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成し有効にする必要がある | フロー ログが構成されているかどうか、フロー ログの状態が有効になっているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | 2 | 1.0.0 |
ネクサス
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: Nexus コンピューティング クラスターのセキュリティ ベースライン | このイニシアティブには、Nexus コンピューティング クラスターのセキュリティ ベースラインに期待される内容を反映するように設計されたポリシーが含まれています。 これにより、クラスター構成が、安全な環境を維持するために重要な特定のセキュリティ コントロールに準拠するようになります。 | 13 | 1.0.0-preview |
規制コンプライアンス
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: Australian Government ISM PROTECTED | このイニシアティブには、Australian Government Information Security Manual (ISM) のコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/auism-initiative を参照してください。 | 40 | 8.9.0-preview |
| [プレビュー]: CMMC 2.0 レベル 2 | このイニシアティブには、CMMC 2.0 レベル 2 プラクティスのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cmmc2l2-initiative を参照してください。 | 227 | 2.19.0-プレビュー |
| [プレビュー]: アメリカ映画協会 (MPAA) | このイニシアティブには、アメリカ映画協会 (MPAA) のセキュリティとガイドラインのコントロールのサブセットに対応する、監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/mpaa-init を参照してください。 | 31 | 4.6.0-preview |
| [プレビュー]: NIS2 | NIS2 指令は、欧州連合全体の重要なインフラストラクチャとデジタルサービスのサイバーセキュリティと回復性を強化し、サイバー脅威に対するより高いレベルの保護を保証します。 | 239 | 1.0.0-preview |
| [プレビュー]: インド準備銀行 - 銀行向けの IT フレームワーク | このイニシアティブには、銀行向けのインド準備銀行 IT フレームワークのコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/rbiitfbanks-initiative を参照してください。 | 152 | 1.18.0-preview |
| [プレビュー]: インド準備銀行 - NBFC 向けの IT フレームワーク | このイニシアティブには、ノンバンク金融会社 (NBFC) 向けのインド準備銀行 IT フレームワークのコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/rbiitfnbfc-initiative を参照してください。 | 117 | 2.16.0-preview |
| [プレビュー]: SWIFT CSP-CSCF v2020 | このイニシアティブには、SWIFT CSP-CSCF v2020 コントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2020-init を参照してください。 | 48 | 6.6.0-preview |
| [プレビュー]: SWIFT CSP-CSCF v2021 | このイニシアティブには、SWIFT Customer Security Program の Customer Security Controls Framework v2021 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2021-init を参照してください。 | 120 | 4.15.0-preview |
| Microsoft 365 認定用 ACAT | Microsoft 365 用アプリ コンプライアンス自動化ツール (ACAT) を使用すると、Microsoft 365 認定を取得するためのプロセスが簡略化されます。https://aka.ms/acat を参照してください。 この認定により、お客様のデータ、セキュリティ、プライバシーを保護するための強力なセキュリティとコンプライアンスのプラクティスがアプリに適用されることが保証されます。 このイニシアティブには、Microsoft 365 認定資格コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 | 16 | 1.1.0 |
| APRA CPS 234 2019 | 規制対象エンティティの情報セキュリティ リスクを管理するためのオーストラリアプルデンシャル規制機関 (APRA) 標準。 | 18 | 1.0.0 |
| ブラジル一般データ保護法 (LGPD) 2018 | 個人データの処理を規制するブラジルの包括的なデータ保護法。 | 19 | 1.0.0 |
| カナダ連邦の PBMM | このイニシアティブには、カナダ連邦の PBMM コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/canadafederalpbmm-init を参照してください。 | 43 | 8.8.0 |
| カナダ連邦 PBMM 3-1-2020 | カナダ連邦システムのセキュリティ標準。機密情報の機密性、整合性、可用性を確保します。 | 204 | 1.3.0 |
| CIS Azure Foundations v2.1.0 | Microsoft Azure のセキュリティ ガイダンス。セキュリティ体制を強化するためのベスト プラクティスを提供します。 | 31 | 1.0.0 |
| CIS コントロール v8.1 | 世界中で認知されているサイバーセキュリティのベスト プラクティス。サイバー脅威から保護するための実行可能な手順を提供します。 | 176 | 1.3.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.1.0 コントロールのサブセットに対処します。 詳細については、https://aka.ms/cisazure110-initiative を参照してください | 153 | 16.10.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.3.0 コントロールのサブセットに対処します。 詳細については、https://aka.ms/cisazure130-initiative を参照してください | 169 | 8.13.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.4.0 コントロールのサブセットに対処します。 詳細については、https://aka.ms/cisazure140-initiative を参照してください | 168 | 1.12.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v2.0.0 コントロールのサブセットに対処します。 詳細については、https://aka.ms/cisazure200-initiative を参照してください | 205 | 1.5.0 |
| CMMC レベル 3 | このイニシアティブには、サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 3 の要件のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cmmc-initiative を参照してください。 | 143 | 11.15.0 |
| CSA CSA クラウド コントロール マトリックス v4.0.12 | クラウド セキュリティ アライアンス (CSA) によるサイバーセキュリティ フレームワーク。クラウド環境専用のセキュリティ コントロールを提供します。 | 217 | 1.3.0 |
| Cyber Essentials v3.1 | 基本的なセキュリティ コントロールを通じて一般的なサイバー脅威から保護するための英国の認定スキーム。 | 112 | 1.0.0 |
| サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 2 v1.9.0 | 国防関連契約での高度なセキュリティ コントロールによる管理された非機密情報 (CUI) の保護に重点を置いています。 | 213 | 1.3.0 |
| EU 2022/2555 (NIS2) 2022 | 重要なセクターのセキュリティ対策とインシデント レポートを使用して、EU 全体のサイバーセキュリティを強化します。 | 195 | 1.3.0 |
| EU 一般データ保護規則 (GDPR) 2016/679 | EU 内での個人データ処理を規制する包括的なデータ保護法。 | 308 | 1.3.0 |
| FBI 刑事司法情報サービス (CJIS) v5.9.5 | データのアクセス、転送、保管を対象とした、刑事司法情報をセキュリティで保護するための FBI の基準。 | 231 | 1.3.0 |
| FedRAMP High | FedRAMP は、米国政府全体で実行されるプログラムであり、クラウドベースの製品とサービスに対するセキュリティの評価、認可、継続的な監視に対する標準化された手法を提供します。 FedRAMP では、NIST ベースライン コントロールに基づいて、低、中、または高のセキュリティ影響レベル システムに対する一連のコントロールを定義します。 これらのポリシーは、FedRAMP (高) コントロールのサブセットに対処します。 詳細については、https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp を参照してください | 715 | 17.18.0 |
| FedRAMP (中) | FedRAMP は、米国政府全体で実行されるプログラムであり、クラウドベースの製品とサービスに対するセキュリティの評価、認可、継続的な監視に対する標準化された手法を提供します。 FedRAMP では、NIST ベースライン コントロールに基づいて、低、中、または高のセキュリティ影響レベル システムに対する一連のコントロールを定義します。 これらのポリシーは、FedRAMP (中) コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://www.fedramp.gov/documents-templates/ を参照してください | 646 | 17.17.0 |
| FFIEC CAT 2017 | FFIEC からサイバーセキュリティの準備を測定するための金融機関向けの評価ツール。 | 136 | 1.3.0 |
| HITRUST CSF v11.3 | 医療や金融などの業界のコンプライアンスを管理するための、包括的なセキュリティとプライバシーのフレームワーク。 | 232 | 1.3.0 |
| HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) は、すべてのセクターの組織 (特に医療機関) がデータ、情報リスク、コンプライアンスを効率的に管理するのに役立ちます。 HITRUST 認定は、情報セキュリティ プログラムの徹底的な評価が組織に対して行われたことを意味します。 これらのポリシーは、HITRUST コントロールのサブセットに対処します。 詳細については、https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 を参照してください | 595 | 14.10.0 |
| IRS1075 2016 年 9 月 | このイニシアティブには、IRS1075 September 2016 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/irs1075-init を参照してください。 | 45 | 8.8.0 |
| ISO 27001:2013 | 国際標準化機構 (ISO) 27001 規格は、情報セキュリティ管理システム (ISMS) を確立、実装、維持、継続的に改善するための要件を提供します。 これらのポリシーは、ISO 27001:2013 コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/iso27001-init を参照してください | 450 | 8.8.0 |
| ISO/IEC 27001 2022 | 情報セキュリティ管理システム (ISMS) を介して情報セキュリティを管理するための国際標準。 | 62 | 1.1.0 |
| ISO/IEC 27002 2022 | 情報セキュリティのコントロールの実装に関する具体的なガイダンスを提供し、ISO 27001 を補完します。 | 157 | 1.3.0 |
| ISO/IEC 27017 2015 | ISO 27001 に対するクラウド固有の拡張機能。クラウド サービス プロバイダーと顧客向けのセキュリティ ガイドラインを提供します。 | 九十九 | 1.3.0 |
| NCSC Cyber Assurance Framework (CAF) v3.2 | システムとデータを保護するための重要な国家インフラストラクチャにサイバーセキュリティ ガイダンスを提供する英国のフレームワーク。 | 78 | 1.3.0 |
| ニュージーランドの ISM | NZISM v3.8。 ニュージーランド情報セキュリティ マニュアル (NZISM) には、すべてのニュージーランド政府の情報とシステムの保護に不可欠なプロセスとコントロールが詳しく説明されています。 このイニシアティブには、NZISM コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 コントロールの詳細については、https://www.nzism.gcsb.govt.nz/ism-document を参照してください。 このポリシー セットには、既定で Deny 効果を持つ定義が含まれています。 | 209 | 1.8.0 |
| NIST 800-171 R3 | 非連邦システムおよび組織で管理された非機密情報 (CUI) を保護するためのガイドライン。 | 222 | 1.3.0 |
| NIST CSF v2.0 | サイバーセキュリティの脅威を管理するためのリスクベースのアプローチ。サイバーセキュリティ プラクティスを改善するためのガイダンスを提供します。 | 107 | 1.3.0 |
| NIST SP 800-171 Rev. 2 | 米国 National Institute of Standards and Technology (NIST) は、連邦機関の情報および情報システムの保護に役立つ測定基準とガイドラインを促進し、維持しています。 非格付け情報 (CUI) の管理に関する大統領行政命令 13556 に対応して、NIST SP 800-171 を公開しました。 これらのポリシーは、NIST SP 800-171 Rev. 2 コントロールのサブセットに対処します。 詳細については、https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 を参照してください | 443 | 15.19.0 |
| NIST SP 800-53 R5.1.1 | 米国連邦の情報システムと組織向けの包括的なセキュリティとプライバシー制御フレームワーク。 | 239 | 1.3.0 |
| NIST SP 800-53 Rev. 4 | National Institute of Standards and Technology (NIST) SP 800-53 R4 は、情報セキュリティ リスクを管理するためのクラウド コンピューティング製品とサービスを評価、監視、認証するための標準化された手法を提供します。これらのポリシーは、NIST SP 800-53 R4 コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/nist800-53r4-initiative を参照してください | 716 | 17.17.0 |
| NIST SP 800-53 Rev. 5 | National Institute of Standards and Technology (NIST) SP 800-53 Rev.5 は、情報セキュリティ リスクを管理するためのクラウド コンピューティング製品とサービスを評価、監視、認証するための標準化された手法を提供します。 これらのポリシーは、NIST SP 800-53 R5 コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/nist800-53r5-initiative を参照してください | 701 | 14.17.0 |
| NL BIO クラウド テーマ | このイニシアティブには、特に 'thema-uitwerking Clouddiensten' に対するオランダの Baseline Informatiebeveiliging (BIO) コントロールに対応するポリシーと、SOC2 および ISO 27001:2013 のコントロールの対象となるポリシーが含まれます。 | 236 | 1.12.0 |
| NL BIO Cloud Theme V2 | このイニシアティブには、特に 'thema-uitwerking Clouddiensten' に対するオランダの Baseline Informatiebeveiliging (BIO) コントロールに対応するポリシーと、SOC2 および ISO 27001:2013 のコントロールの対象となるポリシーが含まれます。 | 292 | 2.4.0 |
| NZISM v3.7 | 政府機関向けのセキュリティ ガイダンスを提供するニュージーランドの情報セキュリティ マニュアル。 | 226 | 1.4.0 |
| PCI DSS v4 | Payment Card Industry (PCI) の Data Security Standards (DSS) は、クレジット カード データの制御を強化することで不正行為を防ぐために設計されたグローバル情報セキュリティ標準です。 PCI DSS への準拠は、支払いおよびカード所有者のデータを保存、処理、または送信するすべての組織で必要です。 これらのポリシーは、PCI-DSS v4 コントロールのサブセットに対処します。 詳細については、https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 を参照してください | 272 | 1.7.0 |
| PCI DSS v4.0.1 | クレジット カード トランザクション データの保護に重点を置く、Payment Card Industry Data Security Standard。 | 213 | 1.4.0 |
| PCI v3.2.1:2018 | このイニシアティブには、PCI v3.2.1:2018 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/pciv321-init を参照してください。 | 30 | 6.6.0 |
| RMIT マレーシア | このイニシアティブには、RMIT 要件のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、aka.ms/rmit-initiative をご覧ください。 | 187 | 9.18.0 |
| サーベンス・オックスリー法 2022 | サイバーセキュリティと IT コントロールの規定を含む、企業の透明性と説明責任の向上を目的とした米国連邦法。 | 92 | 1.0.0 |
| SOC 2 タイプ 2 | システムおよび組織管理 (SOC) 2 は、米国公認会計士協会 (AICPA) によって確立されたトラスト サービスの原則および基準に基づくレポートです。 レポートは、セキュリティ、可用性、処理の整合性、機密性、プライバシーの 1 つ以上の原則に関連する組織の情報システムを評価します。 これらのポリシーは、SOC 2 Type 2 コントロールのサブセットに対処します。 詳細については、https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 を参照してください | 308 | 1.11.0 |
| SOC 2023 | 組織が機密データを安全に管理し、信頼サービスの基準に準拠していることを保証するサービス組織制御レポート。 | 238 | 1.3.0 |
| 主権ベースライン - 機密ポリシー | Microsoft Cloud for Sovereignty では、組織が主権目標を達成できるように、承認されたリージョン外でのリソースの作成を既定で拒否する機密ポリシー、Azure Confidential Computing によってサポートされていないリソースを拒否する機密ポリシー、カスタマー マネージド キーを使用していないデータ ストレージ リソースを拒否する機密ポリシーを推奨しています。 詳細については、https://aka.ms/SovereigntyBaselinePolicies を参照してください | 22 | 1.2.0 |
| 主権ベースライン - グローバルポリシー | Microsoft Cloud for Sovereignty では、組織が主権目標を達成できるように、承認されたリージョン外でのリソースの作成を既定で拒否するグローバル ポリシーを推奨しています。 詳細については、https://aka.ms/SovereigntyBaselinePolicies を参照してください | 5 | 1.2.0 |
| スペインの ENS | このイニシアティブには、特に 'CCN-STIC 884' に対する National Security Scheme (ENS) コントロールに対応するポリシーが含まれています。 このポリシー セットには、既定で Deny 効果を持つ定義が含まれています。 | 857 | 1.7.0 |
| SWIFT CSP-CSCF v2022 | SWIFT の Customer Security Programme (CSP) は、金融機関がサイバー攻撃に対する防御が最新かつ有効であることを確認し、より広範な金融ネットワークの整合性を保護するのに役立ちます。 ユーザーは、実装したセキュリティ対策と Customer Security Controls Framework (CSCF) に記載されているセキュリティ対策を比較します。 これらのポリシーは、SWIFT コントロールのサブセットに対処します。 詳細については、https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 を参照してください | 324 | 2.12.0 |
| SWIFT Customer Security Controls Framework 2024 | グローバルな金融メッセージング サービスである SWIFT を使用して、組織の安全なトランザクションを確保します。 | 207 | 1.3.0 |
| UK OFFICIAL および UK NHS | このイニシアティブには、UK OFFICIAL および UK NHS コントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/ukofficial-init と https://aka.ms/uknhs-init を参照してください。 | 45 | 9.7.0 |
回復力
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: リソースはゾーン回復性がある必要がある | リソースの一部の種類は、ゾーン冗長でデプロイできます (例: SQL データベース)。また、ゾーン アラインでデプロイできるものもあれば (例: Virtual Machines)、ゾーン アラインとゾーン冗長のいずれかでデプロイできるものもあります (例: Virtual Machine Scale Sets)。 ゾーン アラインであることが回復性を保証するわけではありませんが、回復性があるソリューションが構築される基礎にはなります (例: ロード バランサーを使用して同じリージョンの異なる 3 つのゾーンにゾーン アラインされた 3 つの Virtual Machine Scale Sets)。 詳細については、https://aka.ms/AZResilience を参照してください。 | 34 | 1.10.0-プレビュー |
SDN(ソフトウェア定義ネットワーク)
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| パブリック ネットワーク アクセスの監査 | パブリック インターネットからのアクセスを許可する Azure リソースを監査する | 34 | 4.3.0 |
| サポートされているすべての Azure リソースで Private Link の使用状況を評価する | 準拠しているリソースには、承認されたプライベート エンドポイント接続が少なくとも 1 つあります | 30 | 1.1.0 |
セキュリティセンター
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: Microsoft Defender for Endpoint エージェントのデプロイ | 適用対象のイメージに Microsoft Defender for Endpoint エージェントをデプロイします。 | 4 | 1.0.0-preview |
| オープンソース リレーショナル データベースで Advanced Threat Protection が有効になるように構成する | 非基本層のオープンソース リレーショナル データベースで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出します。 https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 | 5 | 1.2.0 |
| SQL Server および SQL Managed Instance で Azure Defender を有効にするように構成する | SQL Server と SQL Managed Instance で Azure Defender を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出します。 | 3 | 3.0.0 |
| Microsoft Defender for Cloud のプランを設定する | Microsoft Defender for Cloud は、マルチクラウド環境における開発からランタイムまで、クラウドネイティブで包括的な保護を提供します。 ポリシー イニシアティブを使用して、Defender for Cloud のプランを設定し、選択した範囲の拡張機能を有効にします。 | 12 | 1.1.0 |
| Microsoft Defender for Databases が有効になるように構成する | Azure SQL Database、Managed Instance、オープン ソース リレーショナル データベース、および Cosmos DB を保護するように Microsoft Defender for Databases を構成します。 | 4 | 1.0.0 |
| Microsoft Defender for Cloud を使用して複数の Microsoft Defender for Endpoint 統合の設定を構成する | Microsoft Defender for Cloud (WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTION など) を使用して、複数の Microsoft Defender for Endpoint 統合の設定を構成します。 詳細については、https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint を参照してください。 | 3 | 1.0.0 |
| Microsoft Defender 拡張機能をインストールするように SQL VM と Arc 対応 SQL Server を構成する | Microsoft Defender for SQL により、エージェントからイベントが収集され、それらを使用してセキュリティ アラートおよび調整されたセキュリティ強化タスク (推奨事項) が提供されます。 | 3 | 1.0.0 |
| LA ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL Server を構成する | Microsoft Defender for SQL により、エージェントからイベントが収集され、それらを使用してセキュリティ アラートおよび調整されたセキュリティ強化タスク (推奨事項) が提供されます。 マシンと同じリージョンに、リソース グループ、データ収集ルール、Log Analytics ワークスペースを作成します。 | 9 | 1.3.0 |
| ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL Server を構成する | Microsoft Defender for SQL により、エージェントからイベントが収集され、それらを使用してセキュリティ アラートおよび調整されたセキュリティ強化タスク (推奨事項) が提供されます。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | 8 | 1.2.0 |
| Microsoft クラウド セキュリティ ベンチマーク | Microsoft クラウド セキュリティ ベンチマーク イニシアティブとは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ推奨事項を実現するポリシーとコントロールを意味します。https://aka.ms/azsecbm を参照してください。 これは、Microsoft Defender for Cloud の既定のポリシー イニシアティブとしても機能します。 このイニシアティブを直接割り当てるか、または、そのポリシーとコンプライアンスの結果を Microsoft Defender for Cloud 内で管理できます。 | 225 | 57.51.0 |
SQL
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| Azure SQL Database には Microsoft Entra 専用認証が必要である | Azure SQL Database に対して Microsoft Entra 専用認証を要求し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
| Azure SQL Managed Instance には Microsoft Entra 専用認証が必要である | Azure SQL Managed Instance に対して Microsoft Entra 専用認証を要求し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
シナプス
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| 認証に Microsoft Entra 専用 ID を要求するように Synapse ワークスペースを構成する | Synapse ワークスペースに対して Microsoft Entra 専用認証を要求して構成し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
| Synapse ワークスペースには Microsoft Entra 専用認証が必要である | Synapse ワークスペースに対して Microsoft Entra 専用認証を要求し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
トラステッド起動
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: トラステッド起動が有効な VM でゲスト構成証明を有効にするように前提条件を構成する | ゲスト構成証明拡張機能を自動的にインストールし、システム割り当てのマネージド ID を有効にすることで Azure Security Center でブート整合性を予防的に証明し、監視できるよう、トラステッド起動が有効な仮想マシンを構成します。 ブート整合性が Remote Attestation によって証明されます。 詳細については、リンク https://aka.ms/trustedlaunch を参照してください | 7 | 3.0.0-preview |
VirtualEnclaves
| 名前 | 説明 | ポリシー | バージョン |
|---|---|---|---|
| [プレビュー]: 仮想エンクレーブでの AKS の使用を制御する | このイニシアティブでは、AKS 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの App Service の使用を制御する | このイニシアティブでは、App Service 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Container Registry の使用を制御する | このイニシアティブでは、Container Registry 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの CosmosDB の使用を制御する | このイニシアティブでは、CosmosDB 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの特定のリソースの診断設定の使用を制御する | このイニシアティブでは、Azure Virtual Enclaves で特定のリソースの種類を構成できるように Azure ポリシーがデプロイされます。 https://aka.ms/VirtualEnclaves | 二十五 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Key Vault の使用を制御する | このイニシアティブでは、Key Vault 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Microsoft SQL の使用を制御する | このイニシアティブでは、Microsoft SQL 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの PostgreSQL の使用を制御する | このイニシアティブでは、PostgreSQL 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Service Bus の使用を制御する | このイニシアティブでは、Service Bus 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでのストレージ アカウントの使用を制御する | このイニシアティブでは、ストレージ アカウント用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。