Azure Policy の組み込みのポリシー定義

このページは、Azure Policy の組み込みのポリシー定義のインデックスです。

各組み込みの名前は、Azure portal のポリシー定義にリンクしています。 [ソース] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。 組み込みは、メタデータ内のカテゴリ プロパティによってグループ化されます。 特定のカテゴリにジャンプするには、ページの右側にあるメニューを使用します。 それ以外では、Ctrl-F キーを押して、ブラウザーの検索機能を使用してください。

API for FHIR

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure API for FHIR に格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 audit、Audit、disabled、Disabled 1.1.0
Azure API for FHIR ではプライベート リンクを使用する必要がある Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 Audit、Disabled 1.0.0
CORS で API for FHIR へのアクセスをすべてのドメインには許可しない クロス オリジン リソース共有 (CORS) で API for FHIR へのアクセスをすべてのドメインに許可することは避けます。 API for FHIR を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 audit、Audit、disabled、Disabled 1.1.0

API Management

名前
(Azure portal)
説明 効果 Version
(GitHub)
API Management の API では暗号化されたプロトコルのみを使用する必要がある API では暗号化されたプロトコルを使用する必要があります。 API では、HTTP や WS などの暗号化されていないプロトコルを使用しないでください。 Audit, Disabled, Deny 2.0.1
API Management から API バックエンドへの呼び出しは認証する必要がある API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 Audit, Disabled, Deny 1.0.1
API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない API Management から API バックエンドへの呼び出しでは、証明書の拇印と証明書名を検証する必要があります。 Audit, Disabled, Deny 1.0.1
API Management の直接 API 管理エンドポイントを有効にしてはならない Azure API Management では、Azure Resource Manager ベースの API の特定の制限をバイパスできる直接管理 REST API が提供されます。既定では有効にしないでください。 Audit, Disabled, Deny 1.0.1
API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 Audit、Deny、Disabled 1.0.1
API Management の名前付きの値のシークレットは Azure KeyVault に保存する必要がある 名前付きの値で参照されるシークレットは、名前付きの値のストア内ではなく Azure KeyVault に値を保存する必要があります。 Audit, Disabled, Deny 1.0.1
API Management サービスで仮想ネットワークをサポートする SKU を使用する必要がある API Management のサポートされている SKU を使用して、仮想ネットワークにサービスをデプロイすると、高度な API Management ネットワークとセキュリティ機能のロックが解除されるため、ネットワーク セキュリティの構成をより細かく制御できます。 詳細については、https://aka.ms/apimvnet を参照してください。 Audit、Deny、Disabled 1.0.0
API Management サービスではパブリック ネットワーク アクセスを無効にする必要がある API Management サービスのセキュリティを向上させるために、エンドポイントがパブリック インターネットに公開されていないことを確認します。 一部のパブリック エンドポイントは、管理 API への直接アクセス、Git を使用した構成の管理、セルフホステッド ゲートウェイ構成などのユーザー シナリオをサポートするために、API Management サービスによって公開されます。 これらの機能をいずれも使用していない場合は、対応するエンドポイントを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
API Management サービスには仮想ネットワークが使用されている必要がある Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 Audit、Disabled 1.0.1
API Management サブスクリプションのスコープを [すべての API] スコープにすることはできません。 API Management サブスクリプションは、すべての API ではなく、製品または個々の API でスコープを設定する必要があります。これにより、API Management インスタンス内のすべての API が公開される可能性があります。 Audit, Disabled, Deny 1.0.0
パブリック ネットワーク アクセスを無効にするように API Management サービスを構成する API Management サービスのセキュリティを向上させるために、パブリック エンドポイントを無効にします。 一部のパブリック エンドポイントは、管理 API への直接アクセス、Git を使用した構成の管理、セルフホステッド ゲートウェイ構成などのユーザー シナリオをサポートするために、API Management サービスによって公開されます。 これらの機能をいずれも使用していない場合は、対応するエンドポイントを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0

App Configuration

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Configuration でパブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 Audit、Deny、Disabled 1.0.0
App Configuration はカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。 Audit、Deny、Disabled 1.1.0
App Configuration ではプライベート リンクをサポートする SKU を使用する必要がある サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 Audit、Deny、Disabled 1.0.0
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.2
App Configuration ストアでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、App Configuration ストアで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 Audit、Deny、Disabled 1.0.0
ローカル認証方法を無効にするように App Configuration ストアを構成する ローカルの認証方法を無効にして、App Configuration ストアで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 Modify、Disabled 1.0.0
App Configuration でパブリック ネットワーク アクセスを無効に構成する App Configuration のパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 Modify、Disabled 1.0.0
App Configuration に接続されているプライベート エンドポイントのプライベート DNS ゾーンを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、アプリ構成インスタンスを解決することができます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
App Configuration のプライベート エンドポイントの構成 プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0

アプリ プラットフォーム

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: 分散トレースが有効になっていない Azure Spring Cloud インスタンスを監査する Azure Spring Cloud の分散トレース ツールを使用すると、アプリケーション内のマイクロサービス間の複雑な相互接続のデバッグと監視が可能になります。 分散トレース ツールを有効にして、正常な状態にしてください。 Audit、Disabled 1.0.0-preview
Azure Spring Cloud でネットワークの挿入を使用する必要がある Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 Audit, Disabled, Deny 1.1.0

App Service

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリ スロットを仮想ネットワークに導入する必要がある App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 Audit、Deny、Disabled 1.0.0
App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Audit, Disabled, Deny 1.0.0
App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットでは、'クライアント証明書 (着信クライアント証明書)' が有効になっている必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 Audit、Disabled 1.0.0
App Service アプリのスロットでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある ローカル認証方法を無効にして、App Service スロットの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.1
App Service アプリのスロットでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある ローカル認証方法を無効にして、App Service スロットの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.2
App Service アプリ スロットでは、リモート デバッグをオフにする必要がある リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットでは、リソース ログを有効にする必要がある アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 2.0.0
App Serivce アプリ スロットでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 1.0.0
App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットでは、マネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 1.0.0
App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 AuditIfNotExists、Disabled 1.0.0
App Service アプリを仮想ネットワークに導入する必要がある App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 Audit、Deny、Disabled 3.0.0
App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Audit, Disabled, Deny 1.0.0
App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 AuditIfNotExists、Disabled 1.0.0
App Service アプリでは、'クライアント証明書 (受信クライアント証明書)' が有効になっている必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 Audit、Disabled 3.0.0
App Service アプリでは認証を有効にする必要がある Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 AuditIfNotExists、Disabled 2.0.1
App Service アプリでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある ローカル認証方法を無効にして、App Service の認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.1
App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある ローカル認証方法を無効にして、App Service の認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.1
App Service アプリではリモート デバッグをオフにする必要がある リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
App Service アプリではリソース ログを有効にする必要がある アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 2.0.1
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 AuditIfNotExists、Disabled 2.0.0
App Service アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 4.0.0
App Service アプリでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 Audit、Deny、Disabled 4.0.1
App Service アプリでは、コンテンツ ディレクトリに Azure ファイル共有を使用する必要がある アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 3.0.0
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 AuditIfNotExists、Disabled 4.0.0
App Service アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
App Service アプリではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 AuditIfNotExists、Disabled 1.0.1
App Service アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 AuditIfNotExists、Disabled 2.0.1
Java を使用する App Service アプリでは最新の 'Java バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の Java バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
PHP を使用する App Service アプリでは、最新の 'PHP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 現在、このポリシーは Linux アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
Python を使用する App Service アプリでは、最新の 'Python バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 AuditIfNotExists、Disabled 4.0.0
パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある App Service Environment にデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワークで IP アドレスを使用して App Service Environment をデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environment を内部ロード バランサーと共にデプロイする必要があります。 Audit、Deny、Disabled 3.0.0
App Service Environment は最強の TLS 暗号スイートを使用して構成する必要がある App Service Environment が正常に機能するために必要な、最小と最強の 2 つの暗号スイートは次のとおりです: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 および TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 Audit、Disabled 1.0.0
App Service Environment は最新バージョンでプロビジョニングする必要がある App Service Environment バージョン 2 またはバージョン 3 のプロビジョニングのみを許可します。 以前のバージョンの App Service Environment では、Azure リソースを手動で管理する必要があり、スケーリングにより大きな制限があります。 Audit、Deny、Disabled 1.0.0
App Service Environment では内部暗号化を有効にする必要がある InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 Audit、Disabled 1.0.1
App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 TLS 1.0 と 1.1 の受信トラフィックを無効にすると、App Service Environment でアプリを守ることになります。 Audit、Deny、Disabled 2.0.1
FTP デプロイのローカル認証を無効にするように App Service アプリのスロットを構成する FTP デプロイのローカル認証方法を無効にして、App Services スロットの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.1
SCM サイトのローカル認証を無効にするように App Service アプリのスロットを構成する SCM サイトのローカル認証方法を無効にして、App Services スロットの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.1
パブリック ネットワーク アクセスを無効にするように App Service アプリ スロットを構成する App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Modify、Disabled 1.0.0
HTTPS を介してのみアクセスできるように App Service アプリ スロットを構成する HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Modify、Disabled 2.0.0
リモート デバッグを無効にするように App Service アプリ スロットを構成する リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0
最新の TLS バージョンを使用するように App Service アプリ スロットを構成する セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 DeployIfNotExists、Disabled 1.0.0
FTP デプロイのローカル認証を無効にするように App Service アプリを構成する FTP デプロイのローカル認証方法を無効にして、App Services の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.1
SCM サイトのローカル認証を無効にするように App Service アプリを構成する SCM サイトのローカル認証方法を無効にして、App Services の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.1
パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Modify、Disabled 1.0.0
HTTPS を介してのみアクセスできるように App Service アプリを構成する HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Modify、Disabled 2.0.0
リモート デバッグを無効にするように App Service アプリを構成する リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように App Service アプリを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークが App Service にリンクされます。 詳細については、https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns を参照してください。 DeployIfNotExists、Disabled 1.0.1
最新の TLS バージョンを使用するように App Service アプリを構成する セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 DeployIfNotExists、Disabled 1.0.1
パブリック ネットワーク アクセスを無効にするように関数アプリ スロットを構成する 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Modify、Disabled 1.0.0
HTTPS を介してのみアクセスできるように関数アプリ スロットを構成する HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Modify、Disabled 2.0.0
リモート デバッグを無効にするように関数アプリ スロットを構成する リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0
最新の TLS バージョンを使用するように関数アプリ スロットを構成する セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 DeployIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように関数アプリを構成する 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Modify、Disabled 1.0.0
HTTPS を介してのみアクセスできるように関数アプリを構成する HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Modify、Disabled 2.0.0
リモート デバッグを無効にするように関数アプリを構成する リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0
最新の TLS バージョンを使用するように関数アプリを構成する セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 DeployIfNotExists、Disabled 1.0.1
関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Audit, Disabled, Deny 1.0.0
関数アプリ スロットでは、'クライアント証明書 (着信クライアント証明書)' が有効になっている必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Audit、Disabled 1.0.0
関数アプリ スロットでは、リモート デバッグをオフにする必要がある リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
関数アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 1.0.0
関数アプリ スロットに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 2.0.0
関数アプリ スロットでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 1.0.0
関数アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 1.0.0
関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 AuditIfNotExists、Disabled 1.0.0
関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 1.0.0
関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 Audit, Disabled, Deny 1.0.0
関数アプリでは、"クライアント証明書 (着信クライアント証明書)" が有効になっている必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Audit、Disabled 3.0.0
関数アプリでは認証を有効にする必要がある Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 AuditIfNotExists、Disabled 3.0.0
関数アプリではリモート デバッグをオフにする必要がある リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 2.0.0
関数アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 5.0.0
関数アプリでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 3.0.0
関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 AuditIfNotExists、Disabled 4.0.0
関数アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
関数アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.0.1
Java を使用する関数アプリは最新の 'Java バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 現在、このポリシーは Linux アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
Python を使用する関数アプリでは、最新の 'Python バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 Python は Windows アプリではサポートされていないため、このポリシーは Linux アプリにのみ適用されます。 AuditIfNotExists、Disabled 4.0.0

構成証明

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Attestation プロバイダーでパブリック ネットワーク アクセスを無効にする必要がある Azure Attestation サービスのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 aka.ms/azureattestation の説明に従って、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 Audit、Deny、Disabled 1.0.0
Azure Attestation プロバイダーはプライベート エンドポイントを使用する必要がある プライベート エンドポイントを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Attestation プロバイダーを Azure リソースに接続できます。 プライベート エンドポイントは、パブリック アクセスを防止することにより、望ましくない匿名アクセスから保護するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0

自動管理

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Automanage にオンボードするように仮想マシンを構成する Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、選択したスコープに自動管理を適用します。 AuditIfNotExists、DeployIfNotExists、Disabled 2.3.0
カスタム構成プロファイルを使用して Azure Automanage にオンボードするように仮想マシンを構成する Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 AuditIfNotExists、DeployIfNotExists、Disabled 1.3.0
Windows Server Azure Edition の VM に対してホットパッチを有効にする必要がある ホットパッチを使用して、再起動を最小限に抑え、更新プログラムをすばやくインストールします。 詳細については、https://docs.microsoft.com/azure/automanage/automanage-hotpatch を参照してください Audit、Deny、Disabled 1.0.0

Automation

名前
(Azure portal)
説明 効果 Version
(GitHub)
Automation アカウントではマネージド ID を使用する必要がある マネージド ID は、Runbook の Azure リソースで認証するための推奨方法として使用します。 認証のためのマネージド ID は安全性に優れ、Runbook コードで RunAs アカウントを使用することにともなう間接管理費がなくなります。 Audit、Disabled 1.0.0
Automation アカウント変数は、暗号化する必要がある 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です Audit、Deny、Disabled 1.1.0
Automation アカウントで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Automation アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようになるため、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/automation-cmk をご覧ください。 Audit、Deny、Disabled 1.0.0
ローカル認証を無効にするように Azure Automation アカウントを構成する ローカル認証方法を無効にして、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようにします。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Azure Automation アカウントを構成する Azure Automation アカウントの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用して Azure Automation アカウントを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Private Link を使用して Azure Automation アカウントに接続するには、プライベート DNS ゾーンが適切に構成されている必要があります。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Automation アカウントでのプライベート エンドポイント接続の構成 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 DeployIfNotExists、Disabled 1.0.0
Automation アカウントでプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 AuditIfNotExists、Disabled 1.0.0

Azure Active Directory

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Active Directory Domain Services managed domains should use TLS 1.2 only mode (Azure Active Directory Domain Services マネージド ドメインで TLS 1.2 専用モードを使用する必要がある) マネージド ドメインに対して TLS 1.2 専用モードを使用します。 既定では、Azure AD Domain Services で、NTLM v1 や TLS v1 などの暗号を使用できます。 これらの暗号は、一部のレガシ アプリケーションで必要になる場合がありますが、脆弱と見なされており、不要であれば無効にできます。 TLS 1.2 専用モードが有効になっている場合、TLS 1.2 を使用せずに要求を行うクライアントはすべて失敗します。 詳細については、https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain をご覧ください。 Audit、Deny、Disabled 1.1.0
Azure Active Directory はプライベート リンクを使用して Azure サービスにアクセスする必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure AD にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/privateLinkforAzureADDocs を参照してください。 インターネットやその他のサービス (M365) にアクセスできない状態で、分離された VNET から Azure サービスに対してのみ使用する必要があります。 AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure AD 用のプライベート リンクを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure AD に解決されます。 詳細については、https://aka.ms/privateLinkforAzureADDocs を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure AD 用のプライベート リンクを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure AD にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/privateLinkforAzureADDocs を参照してください。 インターネットやその他のサービス (M365) にアクセスできない状態で、分離された VNET から Azure サービスに対してのみ使用する必要があります。 DeployIfNotExists、Disabled 1.0.0

Azure Arc

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Arc プライベート リンク スコープはプライベート エンドポイントを使用して構成する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 Audit、Disabled 1.0.0
Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、Azure Arc リソースがパブリック インターネット経由で接続できなくなるため、セキュリティが強化されます。 プライベート エンドポイントを作成すると、Azure Arc リソースの公開を制限できます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Arc 対応 Kubernetes クラスターは Azure Arc プライベート リンク スコープを使用して構成する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Arc 対応サーバーは Azure Arc プライベート リンク スコープを使用して構成する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効に構成する Azure arc プライベート リンク スコープのパブリック ネットワーク アクセスを無効にして、関連付けられている Azure Arc リソースがパブリック インターネット経由で Azure Arc サービスに接続できないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Arc プライベート リンク スコープを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Arc プライベート リンク スコープに解決されます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 DeployIfNotExists、Disabled 1.2.0
プライベート エンドポイントを使用して Azure Arc プライベート リンク スコープを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 DeployIfNotExists、Disabled 2.0.0
Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応 Kubernetes クラスターを構成する Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 Modify、Disabled 1.0.0
Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応サーバーを構成する Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 Modify、Disabled 1.0.0

Azure Data Explorer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Data Explorer における保存時の暗号化でカスタマー マネージド キーを使用する必要がある Azure Data Explorer クラスターでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、特別なコンプライアンス要件を持つ顧客に適用でき、キーの管理に Key Vault を必要とします。 Audit、Deny、Disabled 1.0.0
Azure Data Explorer でディスク暗号化を有効にする必要がある ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 Audit、Deny、Disabled 2.0.0
Azure Data Explorer で二重暗号化を有効にする必要がある 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Audit、Deny、Disabled 2.0.0
Azure Data Explorer に対して仮想ネットワークの挿入を有効にする必要がある ネットワーク セキュリティ グループ規則を適用し、オンプレミスで接続し、サービス エンドポイントを使用してデータ接続ソースのセキュリティで保護できるようにする、仮想ネットワークの挿入によってネットワーク境界をセキュリティで保護します。 Audit、Deny、Disabled 1.0.0

Azure Databricks

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください Audit、Deny、Disabled 1.0.0

Azure Edge Hardware Center

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Edge Hardware Center デバイスで二重暗号化サポートを有効にする必要がある Azure Edge Hardware Center からオーダーされたデバイスで、二重暗号化サポートが有効になっていることを確認し、デバイスの保存データを保護します。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 Audit、Deny、Disabled 2.0.0

Azure ロード テスト

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Load Testing リソースでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キー (CMK) を使用して、Azure Load Testing リソースの保存時の暗号化を管理します。 既定では、暗号化はサービス マネージド キーを使用して行われます。カスタマー マネージド キーを使用すると、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal をご覧ください。 Audit、Deny、Disabled 1.0.0

Azure Purview

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Purview アカウントではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure Purview アカウントにプライベート エンドポイントをマッピングすると、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/purview-private-link を参照してください。 Audit、Disabled 1.0.0

Azure Stack Edge

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Stack Edge デバイスは二重暗号化を使用する必要がある デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0

Backup

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 Audit、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください DeployIfNotExists、AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください DeployIfNotExists、AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 DeployIfNotExists、Disabled 1.0.1-preview
[プレビュー]: [プレビュー]: バックアップ用にプライベート エンドポイントを使用するように Recovery Services コンテナーを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート エンドポイント構成の対象となるには、コンテナーが特定の前提条件を満たす必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2187162 を参照してください DeployIfNotExists、Disabled 1.0.0-preview
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 AuditIfNotExists、Disabled 3.0.0
特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.0.0
リソース固有のカテゴリの Log Analytics ワークスペースに Recovery Services コンテナーの診断設定をデプロイする。 リソース固有のカテゴリの Log Analytics ワークスペースにストリーム配信する Recovery Services コンテナーの診断設定をデプロイします。 リソース固有のカテゴリのいずれかが有効になっていない場合は、新しい診断設定が作成されます。 deployIfNotExists 1.0.2

Batch

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/Batch-CMK をご覧ください。 Audit、Deny、Disabled 1.0.1
Azure Batch プールでディスク暗号化を有効にする必要があります Azure Batch ディスクの暗号化を有効にすると、データは常に Azure Batch 計算ノードで保存時に暗号化されます。 https://docs.microsoft.com/azure/batch/disk-encryption での Batch ディスク暗号化について確認してください。 Audit, Disabled, Deny 1.0.0
Batch アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Batch アカウントで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/batch/auth を参照してください。 Audit、Deny、Disabled 1.0.0
Batch アカウントを構成してローカル認証を無効にする ローカル認証方法を無効にして、Batch アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/batch/auth を参照してください。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Batch アカウントを構成する Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 Modify、Disabled 1.0.0
プライベート エンドポイントを使用して Batch アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Batch アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - Batch アカウントに接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 DeployIfNotExists、Disabled 1.0.0
Batch アカウントでメトリック アラート ルールを構成する必要がある 必須メトリックを有効にするための Batch アカウントにおけるメトリック アラート ルールの構成を監査します AuditIfNotExists、Disabled 1.0.0
Batch アカウントでプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 AuditIfNotExists、Disabled 1.0.0
Batch アカウントでは公衆ネットワーク アクセスを無効にする必要がある Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 Audit、Deny、Disabled 1.0.0
Batch アカウントのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

ボット サービス

名前
(Azure portal)
説明 効果 Version
(GitHub)
Bot Service エンドポイントは有効な HTTPS URI である必要がある データは送信中に改ざんされる可能性があります。 誤用や改ざんの問題に対処する暗号化を提供するプロトコルが存在します。 確実に暗号化されたチャンネルでのみボットが通信を行うように、エンドポイントを有効な HTTPS URI に設定してください。 そうすることで、HTTPS プロトコルを使用して転送中のデータが確実に暗号化されます。また、これは多くの場合、規制や業界標準に準拠するための要件でもあります。 https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Bot Service は、カスタマー マネージド キーを使用して暗号化する必要がある Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft マネージド暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるには、カスタマー マネージド キーを選択します。これは、Bring Your Own Key (BYOK) とも呼ばれます。 Azure Bot Service 暗号化の詳細については、https://docs.microsoft.com/azure/bot-service/bot-service-encryption を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Bot Service で分離モードが有効になっている必要があります ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
Bot Service では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、ボットが認証のために AAD のみ使用するようになり、セキュリティが強化されます。 Audit、Deny、Disabled 1.0.0
Bot Service ではパブリック ネットワーク アクセスを無効にする必要がある ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 Audit、Deny、Disabled 1.0.0
BotService リソースでは、プライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが軽減されます。 Audit、Disabled 1.0.0
プライベート DNS ゾーンを使用するように BotService リソースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、BotService 関連リソースに解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して BotService リソースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクを軽減できます。 DeployIfNotExists、Disabled 1.0.0

キャッシュ

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cache for Redis でパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cache for Redis が露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって Azure Cache for Redis の露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cache for Redis でプライベート リンクを使用する必要がある プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように Azure Cache for Redis を構成する Azure Cache for Redis リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これは、データ漏えいのリスクからキャッシュを保護するのに役立ちます。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Cache for Redis を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cache for Redis を解決することができます。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Cache for Redis を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/redis/privateendpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します Audit、Deny、Disabled 1.0.0

CDN

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Front Door プロファイルでは、マネージド WAF ルールとプライベート リンクをサポートする Premium レベルを使用する必要がある Azure Front Door Premium では、Azure マネージド WAF ルールと、サポートされている Azure 配信元へのプライベート リンクがサポートされています。 Audit、Deny、Disabled 1.0.0
Azure Front Door Standard と Premium では、最小 TLS バージョン 1.2 が実行されている必要があります バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントからカスタム ドメインがアクセスされるようにすることで、セキュリティが強化されます。 1.2 未満のバージョンの TLS は脆弱で、最新の暗号化アルゴリズムがサポートされていないため、使用は推奨されません。 Audit、Deny、Disabled 1.0.0
Azure Front Door Premium と Azure Storage Blob または Azure App Service との間のプライベート接続をセキュリティで保護する プライベート リンクを使用すると、Azure Storage Blob や Azure App Service がインターネットに公開されずに、Azure バックボーン ネットワークを介した AFD Premium と Azure Storage Blob または Azure App Service との間のプライベート接続が保証されます。 Audit、Disabled 1.0.0

Cognitive Services

名前
(Azure portal)
説明 効果 Version
(GitHub)
Cognitive Services アカウントでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Cognitive Services アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成することで、Cognitive Services アカウントの露出を制限できます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Audit、Deny、Disabled 3.0.0
Cognitive Services アカウントでカスタマー マネージド キーによるデータ暗号化を有効にする必要がある 規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用して、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 カスタマー マネージド キーの詳細については、https://go.microsoft.com/fwlink/?linkid=2121321 をご覧ください。 Audit、Deny、Disabled 2.0.0
Cognitive Services アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Cognitive Services アカウントで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/cs/auth を参照してください。 Audit、Deny、Disabled 1.0.0
Cognitive Services アカウントでネットワーク アクセスを制限する必要がある Cognitive Services アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみが Cognitive Services アカウントにアクセスできるように、ネットワーク ルールを構成します。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に、アクセス権を付与できます。 Audit、Deny、Disabled 3.0.0
Cognitive Services アカウントではマネージド ID を使用する必要がある マネージド ID を Cognitive Service アカウントに割り当てると、安全な認証を確実に行うことができます。 この ID は、この Cognitive Service アカウントが、資格情報を管理しなくても、安全な方法で Azure Key Vault などの他の Azure サービスと通信するために使用されます。 Audit、Deny、Disabled 1.0.0
Cognitive Services アカウントで顧客所有のストレージを使用する必要がある Cognitive Services の保存データは、顧客所有のストレージを使用して制御します。 顧客所有のストレージの詳細については、https://aka.ms/cogsvc-cmk を参照してください。 Audit、Deny、Disabled 2.0.0
Cognitive Services ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Audit、Disabled 3.0.0
ローカル認証方法を無効にするように Cognitive Services アカウントを構成する ローカル認証方法を無効にして、Cognitive Services アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/cs/auth を参照してください。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Cognitive Services アカウントを構成する Cognitive Services リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Disabled、Modify 3.0.0
プライベート DNS ゾーンを使用するように Cognitive Services アカウントを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Cognitive Services アカウントに解決されるようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2110097 を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Cognitive Services アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 DeployIfNotExists、Disabled 3.0.0

Compute

名前
(Azure portal)
説明 効果 Version
(GitHub)
許可されている仮想マシン サイズ SKU このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 拒否 1.0.1
ディザスター リカバリーを構成されていない仮想マシンの監査 ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 auditIfNotExists 1.0.0
Managed Disks を使用していない VM の監査 このポリシーは、マネージド ディスクを使用していない VM を監査します 監査 1.0.0
Azure Site Recovery を使用してレプリケーションを有効にし、仮想マシンでのディザスター リカバリーを構成する ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含める/除外することができます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 DeployIfNotExists、Disabled 2.0.0
プライベート DNS ゾーンを使用するように、ディスク アクセス リソースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、マネージド ディスクに解決されます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用してディスク アクセス リソースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをディスク アクセス リソースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する マネージド ディスク リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 Modify、Disabled 2.0.0
Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ このポリシーでは、VM にマルウェア対策の拡張機能が構成されていない場合に、既定の構成で Microsoft IaaSAntimalware 拡張機能をデプロイします。 deployIfNotExists 1.1.0
ディスク アクセス リソースにはプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 AuditIfNotExists、Disabled 1.0.0
マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 Audit、Deny、Disabled 1.0.0
マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 Audit、Disabled 2.0.0
マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、https://aka.ms/disks-cmk をご覧ください。 Audit、Deny、Disabled 2.0.0
Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 AuditIfNotExists、Disabled 1.0.0
Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 AuditIfNotExists、Disabled 1.1.0
インストールする必要があるのは、許可されている VM 拡張機能のみ このポリシーは、承認されていない仮想マシン拡張機能を制御します。 Audit、Deny、Disabled 1.0.0
OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 Audit、Deny、Disabled 3.0.0
Virtual Machine Scale Sets で自動 OS イメージ パッチ適用が必要 このポリシーは、Virtual Machine Scale Sets での自動 OS イメージ パッチ適用を有効にし、最新のセキュリティ修正プログラムを毎月安全に適用することによって、常に Virtual Machines を保護します。 deny 1.0.0
Virtual Machine Scale Sets のリソース ログを有効にする必要がある インシデントやセキュリティ侵害が発生して調査が必要になった場合に活動証跡を再作成できるように、ログを有効にすることをお勧めします。 AuditIfNotExists、Disabled 2.1.0
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 Audit、Deny、Disabled 1.0.0
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります Audit、Deny、Disabled 1.0.0

コンテナー アプリ

名前
(Azure portal)
説明 効果 Version
(GitHub)
Container Apps で認証を有効にする必要がある Container Apps 認証は、匿名の HTTP 要求が Container App に到達するのを防いだり、トークンがあるものを Container App への到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.1
Container App 環境ではネットワーク インジェクションを使用する必要がある Container Apps 環境では、以下のために仮想ネットワーク インジェクションを使用する必要があります。1. Container Apps をパブリック インターネットから分離する。2. オンプレミスまたは他の Azure 仮想ネットワークにあるリソースとのネットワーク統合を有効にする。3. 環境との間で流れるネットワーク トラフィックをより細かく制御できるようにする。 Audit, Disabled, Deny 1.0.2
Container App はボリューム マウントを使用して構成する必要がある 永続的なストレージ容量を確実に利用できるように、Container Apps に対してボリューム マウントの使用を強制します。 Audit、Deny、Disabled 1.0.1
Container Apps 環境ではパブリック ネットワーク アクセスを無効にする必要がある 内部ロード バランサーを介して Container Apps 環境を公開することにより、公衆ネットワーク アクセスを無効にしてセキュリティを向上させます。 これにより、パブリック IP アドレスが不要になり、環境内のすべての Container Apps へのインターネット アクセスが遮断されます。 Audit、Deny、Disabled 1.0.1
Container Apps では外部ネットワーク アクセスを無効にする必要がある 内部専用イングレスを強制することによって、Container Apps への外部ネットワーク アクセスを無効にします。 これにより、Container Apps の受信通信は、Container Apps 環境内の呼び出し元に限定されます。 Audit、Deny、Disabled 1.0.1
コンテナー アプリには HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 "allowInsecure" を無効にすると、Container Apps で要求が HTTP 接続から HTTPS 接続に自動的にリダイレクトされます。 Audit、Deny、Disabled 1.0.1
コンテナー アプリに対してマネージド ID を有効にする必要がある マネージド ID を適用すると、Container Apps では、Azure AD 認証をサポートするすべてのリソースに対して安全に認証できるようになります Audit、Deny、Disabled 1.0.1

コンテナー インスタンス

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Container Instance コンテナー グループを仮想ネットワークにデプロイする必要がある Azure 仮想ネットワークを使用して、コンテナー間の通信をセキュリティで保護します。 仮想ネットワークを指定すると、仮想ネットワーク内のリソースが相互に安全かつプライベートに通信できるようになります。 Audit, Disabled, Deny 2.0.0
Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 Audit, Disabled, Deny 1.0.0

Container Registry

名前
(Azure portal)
説明 効果 Version
(GitHub)
コンテナー レジストリを構成して、匿名認証を無効にする 認証されていないユーザーがデータにアクセスできないように、レジストリに対する匿名プルを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Modify、Disabled 1.0.0
ARM 対象ユーザー トークン認証が無効になるようコンテナー レジストリを構成する。 レジストリへの認証のために Azure Active Directory ARM 対象ユーザー トークンを無効にします。 認証には、Azure Container Registry (ACR) の対象ユーザー トークンのみが使用されます。 これにより、レジストリで使用するためのトークンのみを認証に使用できるようになります。 ARM 対象ユーザー トークンを無効にしても、管理者ユーザーまたはスコープ付きアクセス トークンの認証には影響しません。 詳細については、https://aka.ms/acr/authentication を参照してください。 Modify、Disabled 1.0.0
コンテナー レジストリを構成して、ローカルの管理者アカウントを無効にする レジストリの管理者アカウントを無効にして、ローカル管理者がアクセスできないようにします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Modify、Disabled 1.0.1
パブリック ネットワーク アクセスが無効になるようにコンテナー レジストリを構成する Container Registry リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link Modify、Disabled 1.0.0
リポジトリ スコープのアクセス トークンを無効にするようにコンテナー レジストリを構成する トークンを使用してリポジトリにアクセスできないように、レジストリのリポジトリ スコープのアクセス トークンを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するようにコンテナー レジストリを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Container Registry を解決するために、仮想ネットワークにリンクします。 詳細情報: https://aka.ms/privatednszone および https://aka.ms/acr/private-link DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用してコンテナー レジストリを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Premium Container Registry リソースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細情報: https://aka.ms/privateendpoints および https://aka.ms/acr/private-link DeployIfNotExists、Disabled 1.0.0
コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 Audit、Deny、Disabled 1.1.2
コンテナー レジストリでは、匿名認証が無効になっている必要がある 認証されていないユーザーがデータにアクセスできないように、レジストリに対する匿名プルを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリでは、ARM 対象ユーザー トークン認証を無効にする必要がある。 レジストリへの認証のために Azure Active Directory ARM 対象ユーザー トークンを無効にします。 認証には、Azure Container Registry (ACR) の対象ユーザー トークンのみが使用されます。 これにより、レジストリで使用するためのトークンのみを認証に使用できるようになります。 ARM 対象ユーザー トークンを無効にしても、管理者ユーザーまたはスコープ付きアクセス トークンの認証には影響しません。 詳細については、https://aka.ms/acr/authentication を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリではエクスポートを無効にする必要があります エクスポートを無効にすると、データプレーン (' docker pull ') を介してのみレジストリ内のデータにアクセスできるようになるため、セキュリティが強化されます。 'acr import' または ' acr transfer ' を使用して、レジストリからデータを移動することはできません。 エクスポートを無効にするには、公衆ネットワーク アクセスを無効にする必要があります。 詳細については、https://aka.ms/acr/export-policy を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリでは、ローカル管理者アカウントが無効になっている必要がある レジストリの管理者アカウントを無効にして、ローカル管理者がアクセスできないようにします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Audit、Deny、Disabled 1.0.1
コンテナー レジストリでは、リポジトリ スコープのアクセス トークンが無効になっている必要がある トークンを使用してリポジトリにアクセスできないように、レジストリのリポジトリ スコープのアクセス トークンを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリにはプライベート リンクをサポートする SKU が必要である Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなくコンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、および https://aka.ms/acr/vnet を参照してください。 Audit、Deny、Disabled 2.0.0
コンテナー レジストリではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 Audit、Disabled 1.0.1
コンテナー レジストリに対してパブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットにコンテナー レジストリが露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、コンテナー レジストリ リソースの公開を制限することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link Audit、Deny、Disabled 1.0.0

Cosmos DB

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 Audit、Deny、Disabled 2.0.0
Azure Cosmos DB アカウントは、最後のアカウント キーの再生成以降に許可される最大日数を超えることはできません。 データの保護を強化するには、指定された時間内にキーを再生成してください。 Audit、Disabled 1.0.0
Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Cosmos DB が許可されている場所 このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 [parameters('policyEffect')] 1.1.0
Azure Cosmos DB キー ベースのメタデータ書き込みアクセスを無効にする必要がある このポリシーを使用すると、すべての Azure Cosmos DB アカウントでキー ベースのメタデータ書き込みアクセスを無効にすることができます。 append 1.0.0
Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cosmos DB のスループットを制限する必要がある このポリシーを使用すると、Azure Cosmos DB データベースとコンテナーをリソースプロバイダーを介して作成するときに、組織で指定できる最大スループットを制限できます。 自動スケーリング リソースの作成をブロックします。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
ローカル認証を無効にするように Cosmos DB データベース アカウントを構成する ローカル認証方法を無効にして、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように CosmosDB アカウントを構成する CosmosDB リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように CosmosDB アカウントを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、CosmosDB アカウントを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 2.0.0
プライベート エンドポイントを使用して CosmosDB アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを CosmosDB アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 Audit、Deny、Disabled 1.0.0
CosmosDB アカウントでプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 Audit、Disabled 1.0.0
Cosmos DB アカウントの Advanced Threat Protection のデプロイ このポリシーを使用して、Cosmos DB アカウント全体で Advanced Threat Protection を有効にすることができます。 DeployIfNotExists、Disabled 1.0.0

カスタム プロバイダー

名前
(Azure portal)
説明 効果 Version
(GitHub)
カスタム プロバイダーの関連付けのデプロイ 選択したリソースの種類を指定したカスタム プロバイダーに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 deployIfNotExists 1.0.0

Data Box

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 Audit、Deny、Disabled 1.0.0
Azure Data Box ジョブは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要がある Azure Data Box に使用するデバイスのロック解除パスワードの暗号化は、カスタマー マネージド キーを使用して管理してください。 また、デバイスの準備とデータのコピーを自動化する目的で、デバイスのロック解除パスワードに対する Data Box サービスのアクセスを管理する際にも、カスタマー マネージド キーが役立ちます。 デバイス上の保存データ自体は、あらかじめ Advanced Encryption Standard 256 ビット暗号化を使用して暗号化されており、また、デバイスのロック解除パスワードも既定で Microsoft マネージド キーを使用して暗号化されています。 Audit、Deny、Disabled 1.0.0

Data Factory

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: Azure Data Factory 統合ランタイムにはコア数の制限が必要 リソースとコストを管理するために、統合ランタイムのコア数を制限します。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Data Factory のリンクされたサービスのリソースの種類は許可リストに含まれている必要がある Azure Data Factory のリンク サービスの種類の許可リストを定義します。 許可されるリソースの種類を制限することで、データ移動の境界を制御できます。 たとえば、分析用に Data Lake Storage Gen1 および Gen2 を使用する Blob Storage のみを許可するようにスコープを制限したり、リアルタイム クエリのために SQL および Kusto アクセスのみを許可するようにスコープを制限したりします。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Data Factory のリンクされたサービスでは、シークレットの保存に Key Vault を使用する必要がある シークレット (接続文字列など) を安全に管理できるようにするには、リンク サービスでシークレットをインラインで指定するのではなく、Azure Key Vault を使用してシークレットを提供するようにユーザーに要求します。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Data Factory のリンクされたサービスではシステム割り当てマネージド ID 認証を使用する必要がある (サポートされている場合) リンク サービスを介してデータ ストアと通信するときに、システム割り当てマネージド ID を使用すると、パスワードや接続文字列などの安全性の低い資格情報の使用を回避できます。 Audit、Deny、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Azure Data Factory ではソース管理のために Git リポジトリを使用する必要がある 変更の追跡、コラボレーション、継続的インテグレーション、デプロイなどの機能を利用するために、データ ファクトリでソース管理を有効にします。 Audit、Deny、Disabled 1.0.0-preview
Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 Audit、Deny、Disabled 1.0.1
Azure Data Factory にはプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするようにデータ ファクトリを構成する データ ファクトリのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 Modify、Disabled 1.0.0
Azure Data Factory に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Data Factory へのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Data Factory でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0
データ ファクトリのプライベート エンドポイントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Data Factory のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Factory へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 Audit、Deny、Disabled 1.0.0
Azure Data Factory 上の SQL Server Integration Services 統合ランタイムでは仮想ネットワークに参加する必要がある Azure Virtual Network のデプロイでは、Azure Data Factory 上の SQL Server Integration Services 統合ランタイムのための強化されたセキュリティと分離、サブネット、アクセス制御ポリシーなど、アクセスをさらに制限するための機能を提供します。 Audit、Deny、Disabled 2.0.0

Data Lake

名前
(Azure portal)
説明 効果 Version
(GitHub)
Data Lake Store アカウントにおける暗号化が必要 このポリシーは、すべての Data Lake Store アカウントで暗号化を有効にします deny 1.0.0
Azure Data Lake Store のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Data Lake Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Event Grid

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Event Grid ドメインでは公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid ドメインでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Grid ドメインの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid ドメインではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Disabled [1.0.2](https://github.com/Azure/azure-policy/blob/master/built-in-policies/policyDefinitions/Kubernetes/AKS_AzurePolicyAddOn_Audit.json)
Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Grid パートナー名前空間の認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid トピックでは、公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid トピックでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Grid トピックの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid トピックではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Disabled [1.0.2](https://github.com/Azure/azure-policy/blob/master/built-in-policies/policyDefinitions/Kubernetes/AKS_AzurePolicyAddOn_Audit.json)
ローカル認証を無効にするように Azure Event Grid ドメインを構成する ローカル認証方法を無効にして、Azure Event Grid ドメインの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Modify、Disabled 1.0.0
ローカル認証を無効にするように Azure Event Grid パートナー名前空間を構成する ローカル認証方法を無効にして、Azure Event Grid パートナー名前空間の認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Modify、Disabled 1.0.0
ローカル認証を無効にするように Azure Event Grid トピックを構成する ローカル認証方法を無効にして、Azure Event Grid トピックの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Modify、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid ドメインを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 deployIfNotExists、DeployIfNotExists、Disabled 1.1.0
デプロイ - プライベート エンドポイントを使用して Azure Event Grid ドメインを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid トピックを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 deployIfNotExists、DeployIfNotExists、Disabled 1.1.0
デプロイ - プライベート エンドポイントを使用して Azure Event Grid トピックを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid ドメインを構成する Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid トピックを構成する Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0

イベント ハブ

名前
(Azure portal)
説明 効果 Version
(GitHub)
イベント ハブの名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある イベント ハブ クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります Audit、Deny、Disabled 1.0.1
イベント ハブ インスタンスの承認規則を定義する必要があります 最小特権のアクセスを付与する承認規則がイベント ハブ エンティティに存在することを監査します AuditIfNotExists、Disabled 1.0.0
Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Hub 名前空間の認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-eh を参照してください。 Audit、Deny、Disabled 1.0.0
ローカル認証を無効にするように Azure イベント ハブ名前空間を構成する ローカル認証方法を無効にして、Azure Event Hub 名前空間の認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/disablelocalauth-eh を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するようにイベント ハブ名前空間を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、イベント ハブ名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用してイベント ハブ名前空間を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
Event Hub の名前空間では二重暗号化を有効にする必要があります 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Audit、Deny、Disabled 1.0.0
イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 Audit、Disabled 1.0.0
イベント ハブ名前空間でプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 AuditIfNotExists、Disabled 1.0.0
イベント ハブのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Fluid Relay

名前
(Azure portal)
説明 効果 Version
(GitHub)
Fluid Relay では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Fluid Relay サーバーの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 カスタマー マネージド キーを使用すると、自分が作成および所有し、交換や管理を含め、完全に制御し責任を負う Azure Key Vault キーでデータを暗号化できます。 詳細については、https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys をご覧ください。 Audit、Disabled 1.0.0

全般

名前
(Azure portal)
説明 効果 Version
(GitHub)
許可される場所 このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 deny 1.0.0
リソース グループが許可される場所 このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 deny 1.0.0
許可されるリソースの種類 このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 deny 1.0.0
リソースの場所がリソース グループの場所と一致することの監査 リソースの場所がそのリソース グループの場所と一致することを監査します 監査 2.0.0
カスタム RBAC 規則の使用監査 エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります Audit、Disabled 1.0.0
許可されないリソースの種類 環境にデプロイできるリソースの種類を制限します。 リソースの種類を制限することで、環境の複雑さと攻撃対象領域を削減しつつ、コストの管理にも役立てるとができます。 コンプライアンス対応の結果は、準拠していないリソースについてのみ表示されます。 Audit、Deny、Disabled 2.0.0

ゲスト構成

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: 仮想マシンでゲスト構成の割り当てを有効にするためにユーザー割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている仮想マシンに、ユーザー割り当てマネージド ID が追加されます。 ユーザー割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: ローカル ユーザーを無効にするように Windows Server を構成する。 Windows Server でローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 このポリシーにより、AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Windows Server に確実にアクセスできるようになるため、全体的なセキュリティ体制が向上します。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Linux マシンで、一時ディスク、キャッシュ、コンピューティングとストレージのリソース間のデータ フローを暗号化する必要がある。 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Disk Encryption またはホストでの暗号化を使用して、仮想マシンの OS とデータ ディスク、一時ディスク、データ キャッシュ、コンピューティングとストレージの間を流れるデータを保護します。 さまざまなディスク暗号化オファリングの詳細については、https://aka.ms/diskencryptioncomparison を参照してください。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Linux マシンは Docker ホスト向けの Azure セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホスト向けの Azure セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていません。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: OMI がインストールされた Linux マシンにはバージョン 1.6.8-1 以降が必要である 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Windows マシンで、一時ディスク、キャッシュ、コンピューティングとストレージのリソース間のデータ フローを暗号化する必要がある。 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Disk Encryption またはホストでの暗号化を使用して、仮想マシンの OS とデータ ディスク、一時ディスク、データ キャッシュ、コンピューティングとストレージの間を流れるデータを保護します。 さまざまなディスク暗号化オファリングの詳細については、https://aka.ms/diskencryptioncomparison を参照してください。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Windows マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについてマシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 AuditIfNotExists、Disabled 1.0.0-preview
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 変更 4.0.0
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 変更 4.0.0
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります AuditIfNotExists、Disabled 3.0.0
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 AuditIfNotExists、Disabled 3.0.0
指定されたアプリケーションがインストールされていない Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 4.0.0
パスワードなしのアカウントが存在する Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 AuditIfNotExists、Disabled 3.0.0
指定されたアプリケーションがインストールされている Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 4.0.0
Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
Windows マシンのネットワーク接続を監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
DSC 構成が準拠していない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus から、マシンの DSC 構成が準拠していないという情報が返された場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
指定されたサービスがインストールされて '実行中' になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-Service の結果に、ポリシー パラメーターの指定と一致する状態のサービス名が含まれていない場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
Windows Serial Console が有効になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 以前の 24 個のパスワードの再利用が許可されている Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
指定されたドメインに参加していない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
指定されたタイム ゾーンに設定されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 auditIfNotExists 2.0.0
指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
パスワードの有効期間が 70 日になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの有効期間が 70 日になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
パスワードの変更禁止期間が 1 日になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの変更禁止期間が 1 日になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
指定された Windows PowerShell 実行ポリシーのない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy によって、ポリシー パラメーターで選択された値以外の値が返された場合、マシンは非準拠です。 AuditIfNotExists、Disabled 3.0.0
指定された Windows PowerShell モジュールがインストールされていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 AuditIfNotExists、Disabled 3.0.0
パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最小文字数が 14 文字に制限されていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります AuditIfNotExists、Disabled 2.0.0
指定されたアプリケーションがインストールされていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のどのレジストリ パスにも見つからない場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall auditIfNotExists 2.0.0
Administrators グループに余分なアカウントがある Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
指定した日数以内に再起動されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
指定されたアプリケーションがインストールされている Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のいずれかのレジストリ パスに見つかった場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall auditIfNotExists 2.0.0
Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 auditIfNotExists 2.0.0
再起動が保留中の Windows VM の監査 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 auditIfNotExists 2.0.0
Linux マシンに対する認証では SSH キーを要求する必要がある SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows サーバーにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する Windows サーバーに、セキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当てを作成します DeployIfNotExists、Disabled 1.0.0
Windows マシンでタイム ゾーンを構成する。 このポリシーは、指定されたタイム ゾーンを Windows 仮想マシンに設定するためのゲスト構成の割り当てを作成します。 deployIfNotExists 2.0.0
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 deployIfNotExists 3.0.0
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 deployIfNotExists 1.2.0
Linux マシンには Azure Arc 上に Log Analytics エージェントがインストールされている必要がある Azure Arc 対応 Linux サーバー上に Log Analytics エージェントがインストールされていない場合、マシンは準拠していません。 AuditIfNotExists、Disabled 1.1.0
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
Linux マシンには、許可されているローカル アカウントのみを指定する必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
ゲスト構成の割り当てのプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、仮想マシンのゲスト構成へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 "EnablePrivateNetworkGC" タグが割り当てられていない仮想マシンはコンプライアンス違反となります。 このタグにより、仮想マシンのゲスト構成に対して、プライベート接続によるセキュリティで保護された通信が適用されます。 プライベート接続では、既知のネットワークを送信元とするトラフィックにアクセスが限定され、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスが禁止されます。 Audit、Deny、Disabled 1.0.0
マシンで Windows Defender Exploit Guard を有効にする必要がある Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 AuditIfNotExists、Disabled 2.0.0
Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある 新たに現れるマルウェアから適切に保護するには、新たに現れたマルウェアを考慮するために、Windows Defender 保護署名を定期的に更新する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 1.0.0
Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある 新たに現れるマルウェアから適切に保護するために、Windows マシンで Windows Defender のリアルタイム保護を有効にする必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 1.0.0
Windows マシンには Azure Arc 上に Log Analytics エージェントがインストールされている必要がある Azure Arc が有効な Windows サーバー上に Log Analytics エージェントがインストールされていない場合、マシンは準拠していません。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [管理用テンプレート - コントロール パネル] の要件を満たしている必要がある Windows マシンには、入力の個人用設定とロック画面の有効化防止について、カテゴリ [管理用テンプレート - コントロール パネル] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [管理用テンプレート - MSS (レガシ)] の要件を満たしている必要がある Windows マシンには、自動ログオン、スクリーン セーバー、ネットワークの動作、安全な DLL、イベント ログについて、カテゴリ [管理用テンプレート - MSS (レガシ)] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [管理用テンプレート - ネットワーク] の要件を満たしている必要がある Windows マシンには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決について、カテゴリ [管理用テンプレート - ネットワーク] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [管理用テンプレート - システム] の要件を満たしている必要がある Windows マシンには、管理エクスペリエンスおよび Remote Assist を制御する設定について、カテゴリ [管理用テンプレート - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある Windows コンピューターでは、空白のパスワードとゲスト アカウント状態でのローカル アカウントの使用を制限するため、[セキュリティ オプション - アカウント] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある Windows マシンには、セキュリティ監査をログに記録できない場合に監査ポリシー サブカテゴリを強制的に適用してシャットダウンすることについて、カテゴリ [セキュリティ オプション - 監査] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - デバイス] の要件を満たしている必要がある Windows マシンには、ログオンなしのドッキング解除、プリント ドライバーのインストール、メディアのフォーマットと取り出しについて、カテゴリ [セキュリティ オプション - デバイス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク クライアント] の要件を満たしている必要がある Windows コンピューターには、Microsoft ネットワーク クライアントおよび SMB v1 について、カテゴリ [セキュリティ オプション - Microsoft ネットワーク クライアント] で設定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある Windows コンピューターでは、SMB v1 サーバーを無効にするため、[セキュリティ オプション - Microsoft ネットワーク サーバー] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある Windows マシンには、匿名ユーザーやローカル アカウントへのアクセスと、レジストリへのリモート アクセスを含むことについて、カテゴリ [セキュリティ オプション - ネットワーク アクセス] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある すべてのドライブおよびフォルダーのフロッピー コピーとアクセスを可能にするため、[セキュリティ オプション - 回復コンソール] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - シャットダウン] の要件を満たしている必要がある Windows マシンには、ログオンなしのシャットダウンと仮想マシン ページファイルのクリアについて、カテゴリ [セキュリティ オプション - シャットダウン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - システム オブジェクト] の要件を満たしている必要がある Windows マシンには、Windows システムではないサブシステムのための大文字と小文字の区別をしないこと、および内部システム オブジェクトのアクセス許可について、カテゴリ [セキュリティ オプション - システム オブジェクト] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - システム設定] の要件を満たしている必要がある Windows マシンには、SRP およびオプションのサブシステム用の実行可能ファイルに関する証明書の規則について、カテゴリ [セキュリティ オプション - システム設定] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある Windows マシンには、管理者用のモード、昇格時のプロンプトの動作、ファイル仮想化とレジストリ書き込みのエラーについて、カテゴリ [セキュリティ オプション - ユーザー アカウント制御] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある Windows マシンには、パスワードの履歴、有効期間、長さ、複雑さ、暗号化を元に戻せる状態での保存について、カテゴリ [セキュリティ オプション - アカウント ポリシー] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - アカウント ログオン] の要件を満たしている必要がある Windows マシンには、資格情報の検証およびその他のアカウント ログオン イベントの監査について、カテゴリ [システム監査ポリシー - アカウント ログオン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある Windows マシンには、アプリケーション、セキュリティ、ユーザー グループ管理、その他の管理イベントを監査することについて、カテゴリ [システム監査ポリシー - アカウント管理] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある Windows マシンには、DPAPI、プロセスの作成と終了、RPC イベント、PNP アクティビティを監査することについて、カテゴリ [システム監査ポリシー - 詳細追跡] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - ログオン/ログオフ] の要件を満たしている必要がある Windows マシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオンとログオンのイベントの監査について、カテゴリ [システム監査ポリシー - ログオン/ログオフ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - オブジェクト アクセス] の要件を満たしている必要がある Windows マシンには、ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、その他の種類のシステムに関する監査について、カテゴリ [システム監査ポリシー - オブジェクト アクセス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある Windows マシンには、システム監査ポリシーの監査について、カテゴリ [システム監査ポリシー - ポリシーの変更] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある Windows マシンには、重要でない特権およびその他の特権の使用に関する監査について、カテゴリ [システム監査ポリシー - 特権の使用] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [システム監査ポリシー - システム] の要件を満たしている必要がある Windows マシンには、IPsec ドライバー、システムの整合性、システム拡張、状態変更、その他のシステム イベントの監査について、カテゴリ [システム監査ポリシー - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある ローカル ログオン、RDP、ネットワークからのアクセス、その他多くのユーザー アクティビティを許可するため、Windows マシンでは、[ユーザー権利の割り当て] カテゴリに指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [Windows コンポーネント] の要件を満たしている必要がある Windows マシンには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、Windows のその他の動作について、カテゴリ [Windows コンポーネント] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
Windows マシンには、許可されているローカル アカウントのみを指定する必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 および 2012 R2 ではサポートされていません。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
Windows マシンで、スケジュール化されたスキャンを毎日実行するように Windows Defender をスケジュールする必要がある Windows マシンで、スケジュール化されたスキャンを毎日実行するように Windows Defender をスケジュールして、マルウェアが迅速に特定され、環境に与える影響を最小限に抑えるようにする必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 1.0.0
Windows マシンで既定の NTP サーバーを使用する必要がある すべての Windows マシンの既定の NTP サーバーとして "time.windows.com" をセットアップして、すべてのシステムにわたるログのシステム クロックがすべて同期しているようにします。このポリシーでは、ゲスト構成の前提条件がポリシー割り当てスコープにデプロイされている必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 1.0.0
Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある インターネット経由で通信する情報のプライバシーを保護するために、お客様の Web サーバーでは業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS によって、セキュリティ証明書を使用してマシン間の接続が暗号化されることにより、ネットワーク経由の通信がセキュリティで保護されます。 AuditIfNotExists、Disabled 4.0.0

HDInsight

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure HDInsight クラスターを仮想ネットワークに挿入する必要がある Azure HDInsight クラスターを仮想ネットワークに挿入すると、HDInsight の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成を制御できます。 Audit, Disabled, Deny 1.0.0
Azure HDInsight クラスターでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある カスタマー マネージド キーを使用して、Azure HDInsight クラスターの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/hdi.cmk をご覧ください。 Audit、Deny、Disabled 1.0.1
Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある ホストでの暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 Audit、Deny、Disabled 1.0.0
Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 Audit、Deny、Disabled 1.0.0
Azure HDInsight ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/hdi.pl を参照してください。 AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure HDInsight クラスターを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure HDInsight クラスターに解決されます。 詳細については、https://aka.ms/hdi.pl を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを指定して Azure HDInsight クラスターを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/hdi.pl を参照してください。 DeployIfNotExists、Disabled 1.0.0

Health Bot

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Health Bot では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある Health Bot のデータの保存時の暗号化を管理するには、カスタマー マネージド キー (CMK) を使用します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://docs.microsoft.com/azure/health-bot/cmk を参照してください Audit、Disabled 1.0.0

Health Data Services のワークスペース

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Health Data Services ワークスペースではプライベート リンクを使用する必要がある Health Data Services ワークスペースには、承認済みプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/healthcareapisprivatelink を参照してください。 Audit、Disabled 1.0.0

Healthcare API

名前
(Azure portal)
説明 効果 Version
(GitHub)
CORS で FHIR Service へのアクセスをすべてのドメインには許可しない クロス オリジン リソース共有 (CORS) で FHIR Service へのアクセスをすべてのドメインに許可することは避けます。 FHIR Service を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 audit、Audit、disabled、Disabled 1.1.0

モノのインターネット (IoT)

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: Azure IoT Hub での保存データの暗号化には、カスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して IoT Hub の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 カスタマー マネージド キーは、IoT Hub の作成時に構成する必要があります。 カスタマー マネージド キーを構成する方法の詳細については、https://aka.ms/iotcmk を参照してください。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: IoT Hub デバイス プロビジョニング サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 Audit、Deny、Disabled 1.0.0-preview
Azure Device Update for IoT Hub アカウントではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Device Update for IoT Hub アカウントにマッピングすることにより、データ漏えいのリスクが軽減されます。 AuditIfNotExists、Disabled 1.0.0
Azure IoT Hub では、サービス API に対してローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure IoT Hub のサービス API 認証で Azure Active Directory ID のみを要求することによりセキュリティが向上します。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Azure Device Update for IoT Hub アカウントを構成する 公衆ネットワーク アクセス プロパティを無効にすると、Device Update for IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、Device Update for IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Device Update for IoT Hub アカウントを構成する Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより、Device Update for IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Device Update for IoT Hub アカウントを構成する プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーにより、Device Update for IoT Hub 用にプライベート エンドポイントがデプロイされ、Device Update for IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスがこのリソースに到達できるようになります。 DeployIfNotExists、Disabled 1.1.0
ローカル認証を無効にするように Azure IoT Hub を構成する ローカル認証方法を無効にして、Azure IoT Hub の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように IoT Hub デバイス プロビジョニング インスタンスを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、IoT Hub デバイス プロビジョニング サービス インスタンスを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように IoT Hub Device Provisioning Service インスタンスを構成する IoT Hub デバイス プロビジョニング インスタンスの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 Modify、Disabled 1.0.0
プライベート エンドポイントを使用して IoT Hub Device Provisioning Service インスタンスを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクを減らすことができます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように Azure IoT ハブを構成する Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
デプロイ - プライベート エンドポイントを持つ Azure IoT ハブを構成する プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT ハブ用にプライベート エンドポイントがデプロイされ、IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Hub に到達できるようにすることができます。 DeployIfNotExists、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように IoT Central を構成する Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Central プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 DeployIfNotExists、Disabled 1.0.0
デプロイ - プライベート エンドポイントを持つ IoT Central を構成する プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT Central 用にプライベート エンドポイントがデプロイされ、IoT Central のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Central に到達できるようにすることができます。 DeployIfNotExists、Disabled 1.0.0
IoT Central ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、IoT Central アプリケーションにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/iotcentral-network-security-using-pe を参照してください。 Audit、Deny、Disabled 1.0.0
IoT Hub Device Provisioning Service インスタンスで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、IoT Hub Device Provisioning Service インスタンスがパブリック インターネット上で公開されないようにすることで、セキュリティが強化されます。 プライベート エンドポイントを作成すると、IoT Hub デバイス プロビジョニング インスタンスの露出を制限できます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 Audit、Deny、Disabled 1.0.0
IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 Audit、Disabled 1.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure IoT ハブを構成する 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 Modify、Disabled 1.0.0
変更 - パブリック ネットワーク アクセスを無効にするように IoT Central を構成する 公衆ネットワーク アクセス プロパティを無効にすると、IoT Central へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 Modify、Disabled 1.0.0
IoT Hub ではプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続では、IoT Hub へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 Audit、Disabled 1.0.0
Azure Device Update for IoT Hub アカウントに対する公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセス プロパティを無効にすると、Azure Device Update for IoT Hub アカウントへのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
Azure IoT Hub の公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
IoT Central に対してパブリック ネットワーク アクセスを無効にする必要がある IoT Central のセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/iotcentral-restrict-public-access の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 Audit、Deny、Disabled 1.0.0
IoT Hub のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 3.0.1

Key Vault

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: Azure Key Vault マネージド HSM キー コンテナーのキーには有効期限を設定する必要がある 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Key Vault マネージド HSM キーの残りの日数は有効期限が切れるまでの指定された日数よりも長い必要がある キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: 楕円曲線暗号を使用する Azure Key Vault マネージド HSM キーに曲線名を指定する必要がある 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: RSA 暗号を使用する Azure Key Vault マネージド HSM キーにキーの最小サイズを指定する必要がある キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Key Vault Managed HSM で公衆ネットワーク アクセスを無効にする必要がある Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Key Vault Managed HSM はプライベート リンクを使用する必要がある プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Key Vault Managed HSM を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください Audit、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Key Vault はプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: 証明書には最長有効期間を指定する必要がある キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.2.0-preview
[プレビュー]: [プレビュー]: 指定された日数以内に証明書の有効期限が切れてはならない 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0-preview
[プレビュー]: [プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Key Vault マネージド HSM を構成する Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 Modify、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: プライベート エンドポイントを使用して Azure Key Vault マネージド HSM を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Key Vault Managed HSM にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Configure Azure Key Vaults to use private DNS zones (プライベート DNS ゾーンを使用するように Azure キー コンテナーを構成する) プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、キー コンテナーに解決されるようにします。 詳細については、https://aka.ms/akvprivatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: プライベート エンドポイントを使用して Azure キー コンテナーを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: キー コンテナーにはプライベート エンドポイントを構成する必要がある プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Key Vault を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 Audit、Deny、Disabled 1.1.0-preview
Azure Key Vault Managed HSM で消去保護が有効になっている必要がある Azure Key Vault Managed HSM が悪意により削除されると、完全にデータが失われる可能性があります。 組織内の悪意のある内部関係者が、Azure Key Vault Managed HSM の削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除された Azure Key Vault Managed HSM に必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中に Azure Key Vault Managed HSM を消去することはできなくなります。 Audit、Deny、Disabled 1.0.0
Azure Key Vault should disable public network access (Azure Key Vault で公衆ネットワーク アクセスを無効にする必要がある) キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/akvprivatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Key Vault でファイアウォールを有効にする必要がある Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 その後、特定の IP 範囲を構成して、それらのネットワークにアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください Audit、Deny、Disabled 3.0.0
証明書は、指定の統合された証明機関によって発行される必要がある Digicert または GlobalSign など、キー コンテナーで証明書を発行できる、Azure と統合された証明機関を指定して組織のコンプライアンス要件を管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
証明書は、指定の統合されていない証明機関によって発行される必要がある キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
証明書には、指定された有効期間アクション トリガーが必要である 証明書の有効期間アクションを、有効期間の特定の割合でトリガーするか、有効期限から指定した日数前にトリガーするかを指定して、組織のコンプライアンス要件を管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
証明書は、許可されたキーの種類を使用する必要がある 証明書に許可されるキーの種類を制限して、組織のコンプライアンス要件を管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
楕円曲線暗号を使用する証明書には、許可されている曲線名が必要である キー コンテナーに格納される ECC 証明書に対して許可されている楕円曲線名を管理します。 詳細については、https://aka.ms/akvpolicyをご覧ください。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
RSA 暗号を使用する証明書に、キーの最小サイズを指定する必要がある キー コンテナーに格納される RSA 証明書の最小キー サイズを指定して、組織のコンプライアンス要件を管理します。 audit、Audit、deny、Deny、disabled、Disabled 2.1.0
ファイアウォールを有効にするようにキー コンテナーを構成する Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 その後、特定の IP 範囲を構成して、それらのネットワークにアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください Modify、Disabled 1.1.1
デプロイ - Azure Key Vault の診断設定を Log Analytics ワークスペースに構成する リソース ログをストリーミングするための Azure Key Vault の診断設定を、この診断設定を持たないキー コンテナーが作成または更新されたときに、Log Analytics ワークスペースにデプロイします。 DeployIfNotExists、Disabled 2.0.1
デプロイ - Azure Key Vault Managed HSM で有効にする診断設定をイベント ハブに構成する Azure Key Vault Managed HSM の診断設定をデプロイして、この診断設定がない Azure Key Vault Managed HSM が作成または更新されたときに地域のイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Key Vault の診断設定をイベント ハブにデプロイする この診断設定がないキー コンテナーが作成または更新されたときに、Key Vault の診断設定をデプロイして、リージョンのイベント ハブにストリーム配信します。 deployIfNotExists 3.0.0
Key Vault キーには有効期限が必要である 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2
Key Vault シークレットには有効期限が必要である シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2
キー コンテナーで消去保護が有効になっている必要がある 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 組織内の悪意のある内部関係者が、キー コンテナーの削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 Audit、Deny、Disabled 2.0.0
キー コンテナーで論理的な削除が有効になっている必要がある 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 Audit、Deny、Disabled 3.0.0
ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 Audit、Deny、Disabled 1.0.1
キーは、特定の暗号化の種類 (RSA または EC) である必要がある 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 Audit、Deny、Disabled 1.0.1
キーの有効期限には、指定された日数より先の日付を指定する必要がある キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 Audit、Deny、Disabled 1.0.1
キーには最長有効期間を指定する必要がある キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 Audit、Deny、Disabled 1.0.1
指定された日数より長くキーをアクティブにすることはできない キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 Audit、Deny、Disabled 1.0.1
楕円曲線暗号を使用するキーに曲線名を指定する必要がある 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 Audit、Deny、Disabled 1.0.1
RSA 暗号を使用するキーにキーの最小サイズを指定する必要がある キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 Audit、Deny、Disabled 1.0.1
Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 AuditIfNotExists、Disabled 1.0.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
シークレットにはコンテンツの種類を設定する必要がある コンテンツの種類のタグは、シークレットの種類 (パスワードや接続文字列など) を識別するのに役立ちます。シークレットが異なれば、ローテーションの要件も異なります。 コンテンツの種類のタグは、シークレットに設定する必要があります。 Audit、Deny、Disabled 1.0.1
シークレットの有効期限は、指定された日数より先の日付を指定する必要がある シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 Audit、Deny、Disabled 1.0.1
シークレットには最長有効期間を指定する必要がある キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 Audit、Deny、Disabled 1.0.1
指定された日数より長くシークレットをアクティブにすることはできない シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 Audit、Deny、Disabled 1.0.1

Kubernetes

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 AuditIfNotExists、Disabled 6.0.0-preview
[プレビュー]: [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Azure Policy の拡張機能がインストールされている必要がある Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 DeployIfNotExists、Disabled 7.1.0-preview
[プレビュー]: [プレビュー]: Azure Arc 対応 Kubernetes クラスターを構成して Azure Policy の拡張機能をインストールする Azure Arc 用の Azure Policy 拡張機能をデプロイして大規模に適用し、Arc 対応 Kubernetes クラスターを一元化された一貫性のある方法で保護します。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Kubernetes クラスターで、脆弱性のあるイメージのデプロイを制限する必要がある 脆弱なソフトウェア コンポーネントを使用してコンテナー イメージのデプロイを制限することで、Kubernetes クラスターとコンテナー ワークロードを潜在的な脅威から保護します。 Azure Defender CI/CD scanning (https://aka.ms/AzureDefenderCICDscanning) と Azure defender for container registries (https://aka.ms/AzureDefenderForContainerRegistries) を使用して、デプロイ前に脆弱性を特定して修正プログラムを適用します。 評価の前提条件: ポリシー アドオンと Azure Defender プロファイル。 プライベート プレビューのお客様にのみ適用されます。 Audit、Deny、Disabled 2.0.1-preview
[プレビュー]: [プレビュー]: Kubernetes クラスターでは特定のリソースの種類の作成を制限する必要がある 特定の Kubernetes リソースの種類を、特定の名前空間にデプロイしないようにします。 Audit、Deny、Disabled 2.1.1-preview
Azure Arc 対応 Kubernetes クラスターに、Open Service Mesh 拡張機能がインストールされている必要がある Open Service Mesh 拡張機能は、アプリケーション サービスのセキュリティ、トラフィック管理、および監視に関するすべての標準的なサービス メッシュ機能を提供します。 詳細については、https://aka.ms/arc-osm-doc を参照してください。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
Azure Kubernetes クラスターでキー管理サービス (KMS) を有効にする必要がある Kubernetes クラスターのセキュリティのために etcd での保存時にシークレット データを暗号化するため、キー管理サービス (KMS) を使います。 詳細については、https://aka.ms/aks/kmsetcdencryption を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes クラスターでは Azure CNI を使用する必要がある Azure CNI は、Azure ネットワーク ポリシー、Windows ノード プール、仮想ノード アドオンなど、一部の Azure Kubernetes Service 機能の前提条件です。 詳細については、https://aka.ms/aks-azure-cni を参照してください Audit、Disabled 1.0.1
Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする必要がある コマンドの呼び出しを無効にすると、制限されたネットワーク アクセスや Kubernetes のロールベースのアクセス制御のバイパスを回避してセキュリティを強化できます Audit、Disabled 1.0.1
Azure Kubernetes Service クラスターで Azure Active Directory 統合を有効にする必要がある AKS で管理される Azure Active Directory 統合では、ユーザーの ID またはディレクトリ グループ メンバーシップに基づいて Kubernetes ロールベースのアクセス制御 (Kubernetes RBAC) を構成することで、クラスターへのアクセスを管理できます。 詳細については、https://aka.ms/aks-managed-aad を参照してください。 Audit、Disabled 1.0.1
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 Audit、Disabled 2.0.0
Azure Kubernetes Service クラスターでは、ローカル認証方法を無効にする必要があります ローカル認証方法を無効にすると、Azure Kubernetes Service クラスターの認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/aks-disable-local-accounts を参照してください。 Audit、Deny、Disabled 1.0.1
Azure Kubernetes Service クラスターではマネージド ID を使用する必要がある マネージド ID を使用して、サービス プリンシパルを回り込み、クラスター管理を簡略化し、マネージド サービス プリンシパルに必要な複雑さを回避します。 詳細については、https://aka.ms/aks-update-managed-identities を参照してください Audit、Disabled 1.0.1
Azure Kubernetes Service プライベート クラスターを有効にする必要がある Azure Kubernetes Service クラスターのプライベート クラスター機能を有効にして、API サーバーとノード プールの間のトラフィックがプライベート ネットワーク上のみに保持されるようにします。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.1
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 Audit、Disabled 1.0.2
Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.1
AAD に統合された Azure Kubernetes Service Clusters に必要な管理者グループ アクセスを構成する Azure Active Directory に統合された AKS クラスターへの管理者アクセスを集中管理することで、クラスターのセキュリティを強化します。 DeployIfNotExists、Disabled 2.0.1
Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 Microsoft Defender for Containers の詳細: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks DeployIfNotExists、Disabled 4.0.0
Kubernetes クラスターで Flux 拡張機能のインストールを構成する クラスター内で "fluxconfigurations" のデプロイを有効にするために、Kubernetes クラスターに Flux 拡張機能をインストールします DeployIfNotExists、Disabled 1.0.0
バケット ソースと KeyVault 内のシークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された Bucket SecretKey が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
Git リポジトリと HTTPS CA 証明書を使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、HTTPS CA 証明書が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.1
Git リポジトリと HTTPS シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された HTTPS キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
Git リポジトリとローカル シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
Git リポジトリと SSH シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック Git リポジトリを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
ローカル シークレットを使用して、指定された Flux v2 バケット ソースで Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
デプロイ - Azure Kubernetes Service の診断設定を Log Analytics ワークスペースに構成する リソース ログをストリーミングするための Azure Kubernetes Service の診断設定を Log Analytics ワークスペースにデプロイします。 DeployIfNotExists、Disabled 3.0.0
Azure Policy アドオンを Azure Kubernetes Service クラスターにデプロイする Azure Policy アドオンを使用して、Azure Kubernetes Service (AKS) クラスターのコンプライアンスの状態を管理およびレポートします。 詳細については、「https://aka.ms/akspolicydoc」を参照してください。 DeployIfNotExists、Disabled 4.0.0
Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする コマンドの呼び出しを無効にすると、クラスターへの invoke-command アクセスを拒否してセキュリティを強化できます DeployIfNotExists、Disabled 1.0.1
クラスター コンテナーに readiness probe または liveness probe が構成されていることを確認する このポリシーでは、すべてのポッドに readiness probe または liveness probe が構成されていることが強制されます。 プローブの種類は、tcpSocket、httpGet、exec のいずれかになります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 Audit、Deny、Disabled 3.0.1
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.0.1
[Kubernetes クラスター コンテナーでは、ホスト プロセス ID またはホスト IPC 名前空間を共有してはいけない](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F47a1ee2f-2a2a-4576-bf2a-e0e36709c2b8) ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.0.1
[Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F511f5417-5d12-434d-ab2e-816901e72a5e) コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.0.1
[Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2Fc26596ff-4d70-4e6a-9a30-c2506bd2f80c) Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.0.1
[Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2Ffebd0533-8e55-448f-b837-bd0e06f16469) 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.0.1
Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.0.1
Kubernetes クラスター コンテナーでは、許可されているプル ポリシーのみを使用する必要がある コンテナーのプル ポリシーを制限して、デプロイで許可されているイメージのみを使用するようコンテナーに強制します。 Audit、Deny、Disabled 3.0.1
Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.0.1
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.0.1
Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.0.1
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.0.1
Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.0.1
Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.0.1
Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.0.1
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.0.1
Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes クラスターで特権コンテナーを許可しない Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.0.1
Kubernetes クラスターでは、Naked Pod を使用しない Naked Pod の使用をブロックします。 ノード障害が発生した場合、Naked Pod は再スケジュールされません。 ポッドは、Deployment、Replicset、Daemonset、または Jobs で管理する必要があります Audit、Deny、Disabled 2.0.1
Kubernetes クラスターの Windows コンテナーでは CPU とメモリをオーバーコミットすることができない Windows コンテナー リソース要求は、オーバーコミットを回避するために、リソースの制限以下または未指定にする必要があります。 Windows メモリが過剰にプロビジョニングされている場合、メモリ不足でコンテナーを終了するのではなく、ディスク内のページが処理されるため、パフォーマンスが低下する可能性があります Audit、Deny、Disabled 2.0.1
Kubernetes クラスターの Windows コンテナーを ContainerAdministrator として実行することはできない Windows ポッドまたはコンテナーのコンテナー プロセスを実行するためのユーザーとして ContainerAdministrator を使用できないようにします。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 Audit、Deny、Disabled 1.0.0
Kubernetes クラスター Windows コンテナーは、承認されたユーザーとドメイン ユーザー グループでのみ実行する必要がある Kubernetes クラスターで Windows ポッドとコンテナーを実行するために使用できるユーザーを制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした、Windows ノード上のポッド セキュリティ ポリシーの一部です。 Audit、Deny、Disabled 2.0.1
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.0.1
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 4.0.1
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.0.1
Kubernetes クラスターで ClusterRole/system:aggregate-edit のエンドポイント編集アクセス許可を許可しない CVE-2021-25740 のため、ClusterRole/system:aggregate-to-edit でエンドポイント編集権限を許可しないでください。Endpoint & EndpointSlice 権限では、名前空間間の転送が許可されますhttps://github.com/kubernetes/kubernetes/issues/103675。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 Audit、Disabled 3.0.1
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes クラスターでは特定のセキュリティ機能を使用しない Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.0.1
Kubernetes クラスターでは既定の名前空間を使用しない ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 4.0.1
Kubernetes クラスターでは、Container Storage Interface (CSI) ドライバー StorageClass を使用する必要があります Container Storage Interface (CSI) は、Kubernetes のコンテナー化されたワークロードに任意のブロックおよびファイル ストレージ システムを公開する標準です。 AKS バージョン 1.21 以降、ツリー内プロビジョナー StorageClass は非推奨にする必要があります。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 Audit、Deny、Disabled 2.0.1
Kubernetes クラスターでは内部ロード バランサーを使用する必要がある 内部ロード バランサーを使用することで、Kubernetes サービスを Kubernetes クラスターと同じ仮想ネットワークで実行されているアプリケーションからのみアクセス可能にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.0.1
Kubernetes リソースには必須の注釈が必要 Kubernetes リソースのリソース管理を向上させるために、必要な注釈が特定の Kubernetes リソースの種類にアタッチされていることを確認します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 Audit、Deny、Disabled 3.0.1
Azure Kubernetes Service でリソース ログを有効にする必要がある Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします AuditIfNotExists、Disabled 1.0.0
Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.1

Lab Services

名前
(Azure portal)
説明 効果 Version
(GitHub)
Lab Services では自動シャットダウンのすべてのオプションを有効にする必要がある このポリシーは、ラボに対してすべての自動シャットダウン オプションを有効にすることで、コスト管理に役立ちます。 Audit、Deny、Disabled 1.1.0
Lab Services でラボのテンプレート仮想マシンを許可しない このポリシーでは、Lab Services で管理されるラボのテンプレート仮想マシンの作成とカスタマイズを禁止します。 Audit、Deny、Disabled 1.1.0
Lab Services ではラボに管理者以外のユーザーが必要 このポリシーでは、ラボ サービスを使用して管理されるラボに対して管理者以外のユーザー アカウントを作成する必要があります。 Audit、Deny、Disabled 1.1.0
Lab Services では、許可されている仮想マシンの SKU サイズを制限する必要がある このポリシーを使用すると、Lab Services を介して管理されるラボの特定のコンピューティング VM SKU を制限できます。 これにより、特定の仮想マシンのサイズが制限されます。 Audit、Deny、Disabled 1.1.0

Lighthouse

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Lighthouse を使用してオンボードするテナント ID の管理を許可する Azure Lighthouse の委任を特定の管理テナントに制限すると、Azure リソースを管理できるユーザーが制限されることにより、セキュリティが向上します。 deny 1.0.1
管理テナントへのスコープの委任を監査する Azure Lighthouse を介した管理テナントへのスコープの委任を監査します。 Audit、Disabled 1.0.0

Logic Apps

名前
(Azure portal)
説明 効果 Version
(GitHub)
Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある 統合サービス環境にデプロイし、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 Audit、Deny、Disabled 1.0.0
統合サービス環境に Logic Apps をデプロイする必要がある 仮想ネットワーク内の統合サービス環境に Logic Apps をデプロイすると、Logic Apps のネットワークとセキュリティの高度な機能が利用できるようになり、ネットワーク構成の制御を強化できます。 詳細については、https://aka.ms/integration-service-environment を参照してください。 また、統合サービス環境にデプロイすることで、カスタマー マネージド キーを使用した暗号化も可能になります。これにより、暗号化キーを自分で管理できるようにすることで、データ保護が強化されます。 その目的は、多くの場合、コンプライアンス要件を満たすことです。 Audit、Deny、Disabled 1.0.0
Logic Apps のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Machine Learning

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Machine Learning コンピューティング クラスターとインスタンスが仮想ネットワークの背後にある場合の監査 Azure Virtual Network のデプロイにより、Azure Machine Learning コンピューティング クラスターのセキュリティと分離が強化されると共に、サブネット、アクセス制御ポリシー、アクセスをさらに制限する他の機能も提供されます。 仮想ネットワークを使用して Azure Machine Learning コンピューティング インスタンスを構成する場合、パブリックにアドレスを指定することはできないため、仮想ネットワーク内の仮想マシンとアプリケーションからしかアクセスできません。 Audit、Disabled 1.0.0
Azure Machine Learning コンピューティング インスタンスでアイドル シャットダウンを行う必要がある。 アイドル シャットダウンをスケジュール設定すると、事前に決定されたアクティビティ期間の後にアイドル状態になっているコンピューティングがシャットダウンされ、コストが削減されます。 Audit、Deny、Disabled 1.0.0
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 Audit、Deny、Disabled 1.0.3
Azure Machine Learning ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、機械学習ワークスペースがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成することによってワークスペースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Deny、Disabled 2.0.0
ネットワークの分離の下位互換性をサポートするには、Azure Machine Learning ワークスペースで V1LegacyMode を有効にする必要がある Azure ML では、Azure Resource Manager 上の新しい V2 API プラットフォームへの移行が行われ、V1LegacyMode パラメーターを使用して API プラットフォームのバージョンを制御できます。 V1LegacyMode パラメーターを有効にすると、ワークスペースを V1 と同じネットワーク分離状態に保つことができますが、新しい V2 の機能は使用できません。 AzureML コントロール プレーン データをプライベート ネットワーク内に保持したい場合にのみ V1 レガシ モードを有効にすることをお勧めします。 詳細については、https://aka.ms/V1LegacyMode を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 Audit、Deny、Disabled 1.1.0
Azure Machine Learning ワークスペースではユーザー割り当てマネージド ID を使用する必要がある ユーザー割り当てマネージド ID を使用して、Azure ML ワークスペースと関連付けられているリソース、Azure Container Registry、KeyVault、Storage、および App Insights へのアクセスを管理します。 既定では、関連付けられているリソースにアクセスするために、システムによって割り当てられたマネージド ID が Azure ML ワークスペースで使用されます。 ユーザー割り当てのマネージド ID を使用すると、Azure リソースとして ID を作成し、その ID のライフサイクルを保守することができます。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python をご覧ください。 Audit、Deny、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Machine Learning ワークスペースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Machine Learning ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように Azure Machine Learning ワークスペースを構成する パブリック インターネットを使用して Azure Machine Learning ワークスペースにアクセスできない場合は、ワークスペースのパブリック ネットワーク アクセスを無効にします。 これはワークスペースでのデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによって機械学習ワークスペースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Machine Learning ワークスペースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0
Machine Learning コンピューティングを構成してローカル認証方法を無効にする ローカル認証方法を無効にして、Machine Learning コンピューティングで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 Modify、Disabled 1.0.0
Machine Learning コンピューティングでローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Machine Learning コンピューティングで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 Audit、Deny、Disabled 1.0.0

マネージド アプリケーション

名前
(Azure portal)
説明 効果 Version
(GitHub)
マネージド アプリケーションのアプリケーション定義では、ユーザー指定のストレージ アカウントを使用する これが規制またはコンプライアンスの要件である場合、独自のストレージ アカウントを使用してアプリケーション定義データを制御してください。 管理アプリケーション定義は、作成時に指定したストレージ アカウント内に保存することを選択できます。これにより、場所とアクセスを完全に管理し、規制コンプライアンス要件を満たすことができます。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
マネージド アプリケーションの関連付けのデプロイ 選択したリソースの種類を、指定したマネージド アプリケーションに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 deployIfNotExists 1.0.0

マネージド ID

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machine Scale Sets に割り当てる 仮想マシン スケール セットに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.2-preview
[プレビュー]: [プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machines に割り当てる 仮想マシンに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.2-preview

Maps

名前
(Azure portal)
説明 効果 Version
(GitHub)
CORS でマップ アカウントへのアクセスをすべてのリソースには許可しない。 クロス オリジン リソース共有 (CORS) では、マップ アカウントへのアクセスをすべてのドメインには許可しないでください。 マップ アカウントの操作に必要なドメインのみを許可します。 無効、監査、拒否 1.0.0

Media Services

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Media Services アカウントで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに Media Services リソースが露出されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Media Services リソースの露出を制限できます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Media Services アカウントでは、Private Link をサポートする API を使用する必要がある Media Services アカウントは、プライベート リンクをサポートする API を使用して作成する必要があります。 Audit、Deny、Disabled 1.0.0
レガシ v2 API へのアクセスを許可する Azure Media Services アカウントをブロックする必要がある Media Services レガシ v2 API は、Azure Policy を使用して管理できない要求を許可します。 2020-05-01 API 以降を使用して作成された Media Services リソースは、レガシ v2 API へのアクセスをブロックします。 Audit、Deny、Disabled 1.0.0
Azure Media Services コンテンツ キー ポリシーではトークン認証を使用する必要がある コンテンツ キー ポリシーは、コンテンツ キーにアクセスするために満たす必要がある条件を定義します。 トークン制限により、認証サービス (Azure Active Directory など) からの有効なトークンを持つユーザーしかコンテンツ キーにアクセスできなくなります。 Audit、Deny、Disabled 1.0.0
HTTPS 入力のある Azure Media Services ジョブでは入力 URI を許可された URI パターンに制限する必要がある Media Services ジョブによって使用される HTTPS 入力を既知のエンドポイントに制限します。 HTTPS エンドポイントからの入力は、許可されるジョブ入力パターンとして空のリストを設定することで完全に無効にすることができます。 ジョブの入力で "baseUri" が指定されている場合、その値とパターンが照合されます。"baseUri" が設定されていない場合、パターンは "files" プロパティと照合されます。 Deny、Disabled 1.0.1
Azure Media Services では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Media Services アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/mediaservicescmkdocs をご覧ください。 Audit、Deny、Disabled 1.0.0
Azure Media Services ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Media Services を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Media Services アカウントに解決されます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Media Services を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 DeployIfNotExists、Disabled 1.0.0

Migrate

名前
(Azure portal)
説明 効果 Version
(GitHub)
プライベート DNS ゾーンを使用するよう Azure Migrate リソースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure Migrate プロジェクトを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0

監視

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Linux マシンを構成する Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Linux マシンを保護します。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Windows マシンを構成する Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Windows マシンを保護します。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Azure Monitoring Agent 設定を使用して Azure Arc 対応 Linux サーバーで依存関係エージェントを構成する Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: Azure Monitoring Agent 設定を使用して Azure Arc 対応 Windows サーバーで依存関係エージェントを構成する Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: システム割り当てマネージド ID を構成して、VM で Azure Monitor 割り当てを有効にする Azure でホストされている仮想マシンのうち、Azure Monitor によってサポートされているものの、システム割り当てマネージド ID が与えられていない仮想マシンに、システム割り当てマネージド ID を構成します。 システム割り当てマネージド ID はすべての Azure Monitor 割り当ての前提条件であり、Azure Monitor 拡張機能を使用する前に、マシンに追加する必要があります。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 Modify、Disabled 6.0.0-preview
[プレビュー]: [プレビュー]: リソース グループ内のすべての VM に対して VMInsights のデータ収集ルールとデータ収集ルールの関連付けをデプロイする VMInsights のデータ収集ルールをデプロイし、リソース グループ内のすべての VM のデータ収集ルールの関連付けをデプロイします。 このポリシーでは、プロセスと依存関係の有効化が必要かどうかを確認し、それに応じて DCR を作成します。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: リソース グループ内のすべての VMSS に対して VMInsights のデータ収集ルールとデータ収集ルールの関連付けをデプロイする VMInsights のデータ収集ルールをデプロイし、リソース グループ内のすべての VMSS のデータ収集ルールの関連付けをデプロイします。 このポリシーでは、プロセスと依存関係の有効化が必要かどうかを確認し、それに応じて DCR を作成します。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: リソース グループ内の Arc マシンに対して VMInsights のデータ収集ルールとデータ収集ルールの関連付けをデプロイする VMInsights のデータ収集ルールをデプロイし、リソース グループ内のすべての Arc マシンのデータ収集ルールの関連付けをデプロイします。 このポリシーでは、プロセスと依存関係の有効化が必要かどうかを確認し、それに応じて DCR を作成します。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: Azure Monitoring Agent 設定を使用して Linux 仮想マシン スケール セット用の依存関係エージェントをデプロイする 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 DeployIfNotExists、Disabled 3.0.0-preview
[プレビュー]: [プレビュー]: Azure Monitoring Agent 設定を使用して Linux 仮想マシン用の依存関係エージェントをデプロイする 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 DeployIfNotExists、Disabled 3.0.0-preview
[プレビュー]: [プレビュー]: Azure Monitoring Agent 設定を使用して Windows 仮想マシン スケール セットで有効にする依存関係エージェントをデプロイする 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: Azure Monitoring Agent 設定を使用して Windows 仮想マシンで有効にする依存関係エージェントをデプロイする 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 AuditIfNotExists、Disabled 1.0.1-preview
[プレビュー]: [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 AuditIfNotExists、Disabled 1.0.1-preview
[プレビュー]: [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 AuditIfNotExists、Disabled 1.0.2-preview
[プレビュー]: [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 AuditIfNotExists、Disabled 1.0.2-preview
アクティビティ ログを 1 年以上保持する必要がある このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 AuditIfNotExists、Disabled 1.0.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 AuditIfNotExists、Disabled 3.0.0
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0
Application Insights コンポーネントでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある パブリック ネットワークからのログの取り込みとクエリをブロックすることで、Application Insights のセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このコンポーネントのログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Application Insights コンポーネントでは、非 Azure Active Directory ベースの取り込みをブロックする必要がある。 ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 Deny、Audit、Disabled 1.0.0
プライベート リンクを有効にした Application Insights コンポーネントでは、プロファイラーとデバッガー用に Bring Your Own Storage アカウントを使用する必要がある。 プライベート リンクとカスタマー マネージド キーのポリシーをサポートするには、プロファイラーとデバッガー用の独自のストレージ アカウントを作成します。 詳細については、https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage を参照してください Deny、Audit、Disabled 1.0.0
診断設定の監査 選択したリソースの種類の診断設定を監査します AuditIfNotExists 2.0.0
Azure Application Gateway でリソース ログを有効にする必要がある Azure Application Gateway (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 AuditIfNotExists、Disabled 1.0.0
Azure Front Door でリソース ログを有効にする必要がある Azure Front Door (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 AuditIfNotExists、Disabled 1.0.0
Log Analytics ワークスペースを介した Azure ログ検索アラートでは、カスタマー マネージド キーを使用する必要がある 顧客がクエリ対象の Log Analytics ワークスペースに対して提供したストレージ アカウントを使用してクエリ テキストを保存することで、Azure ログ検索アラートでカスタマー マネージド キーが実装されるようにします。 詳細については、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 Audit, Disabled, Deny 1.0.0
Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします AuditIfNotExists、Disabled 1.0.0
Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Application Insights 用の Azure Monitor ログを Log Analytics ワークスペースにリンクする必要がある Application Insights コンポーネントを Log Analytics ワークスペースにリンクしてログを暗号化します。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor のデータに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用して有効にされた Log Analytics ワークスペースにコンポーネントをリンクすることで、Application Insights のログが確実にこのコンプライアンス要件を満たします。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Monitor プライベート リンク スコープでプライベート リンク リソース以外へのアクセスをブロックする必要がある Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Monitor プライベート リンク スコープではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 AuditIfNotExists、Disabled 1.0.0
Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 AuditIfNotExists、Disabled 2.0.0
Azure Monitor ソリューション "Security and Audit" をデプロイする必要がある このポリシーでは、Security and Audit が確実にデプロイされるようにします。 AuditIfNotExists、Disabled 1.0.0
Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 AuditIfNotExists、Disabled 1.0.0
指定された Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する Azure Activity の診断設定をデプロイして、サブスクリプションの監査ログを Log Analytics ワークスペースにストリーミングし、サブスクリプション レベルのイベントを監視します DeployIfNotExists、Disabled 1.0.0
ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Application Insights コンポーネントを構成する セキュリティを強化するために、公衆ネットワーク アクセスからのコンポーネントのログの取り込みとクエリを無効にします。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 Modify、Disabled 1.1.0
ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Log Analytics ワークスペースを構成する パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 Modify、Disabled 1.1.0
プライベート リンク リソース以外へのアクセスをブロックするように Azure Monitor プライベート リンク スコープを構成する Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Monitor プライベート リンク スコープを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Monitor プライベート リンク スコープに解決されます。 詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Monitor プライベート リンク スコープを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Arc が有効な Linux サーバー上で依存関係エージェントを構成する 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 2.0.0
Azure Arc が有効な Windows サーバー上で依存関係エージェントを構成する 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 2.0.0
Linux Arc マシンを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Linux Arc マシンを指定のデータ収集ルールにリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 DeployIfNotExists、Disabled 1.0.1
Azure Monitor エージェントを実行するように Linux Arc 対応マシンを構成する ゲスト OS からテレメトリ データを収集するために、Linux Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 2.1.0
Linux マシンを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンを指定のデータ収集ルールにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 DeployIfNotExists、Disabled 5.0.0
Linux 仮想マシン スケール セットを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Linux 仮想マシン スケール セットを指定のデータ収集ルールにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 DeployIfNotExists、Disabled 3.0.0
システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 3.0.0
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 3.0.0
Linux 仮想マシンを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Linux 仮想マシンを指定のデータ収集ルールにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 DeployIfNotExists、Disabled 3.0.0
システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 3.0.0
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 3.0.0
Azure Arc が有効な Linux サーバー上で Log Analytics 拡張機能を構成する。 下記の非推奨の通知を参照してください。 Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります DeployIfNotExists、Disabled 2.1.1
Azure Arc が有効な Windows サーバー上で Log Analytics 拡張機能を構成する Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 DeployIfNotExists、Disabled 2.1.1
ログと監視を集中管理するように Log Analytics ワークスペースとオートメーション アカウントを構成する Log Analytics ワークスペースとリンクされたオートメーション アカウントを含むリソース グループをデプロイして、ログと監視を集中管理します。 オートメーション アカウントは、Updates や Change Tracking のようなソリューションの前提条件です。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.0
Windows Arc マシンを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Windows Arc マシンを指定のデータ収集ルールにリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 DeployIfNotExists、Disabled 1.0.1
Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する ゲスト OS からテレメトリ データを収集するために、Windows Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 2.1.0
Windows マシンを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンを指定のデータ収集ルールにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 DeployIfNotExists、Disabled 2.1.0
Windows 仮想マシン スケール セットを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Windows 仮想マシン スケール セットを指定のデータ収集ルールにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 DeployIfNotExists、Disabled 1.1.0
システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシン スケール セットを構成する ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 3.1.0
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンのスケール セットを構成する ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 1.1.0
Windows 仮想マシンを構成してデータ収集ルールと関連付ける [関連付け] を展開して、Windows 仮想マシンを指定のデータ収集ルールにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 DeployIfNotExists、Disabled 1.1.0
システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 4.1.0
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 DeployIfNotExists、Disabled 1.1.0
一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 AuditIfNotExists、Disabled 2.0.0
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 AuditIfNotExists、Disabled 2.0.0
デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 DeployIfNotExists、Disabled 3.1.0
デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 DeployIfNotExists、Disabled 3.1.0
デプロイ - Azure Key Vault マネージド HSM で有効にする診断設定を Log Analytics ワークスペースに構成する この診断設定がない Azure Key Vault マネージド HSM が作成または更新されたときに地域の Log Analytics ワークスペースにストリーム配信する Azure Key Vault マネージド HSM の診断設定をデプロイします。 DeployIfNotExists、Disabled 1.0.0
デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 DeployIfNotExists、Disabled 3.0.1
デプロイ - Log Analytics 拡張機能を Windows 仮想マシンで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 DeployIfNotExists、Disabled 3.0.1
Linux Virtual Machine Scale Sets 用の Dependency Agent のデプロイ 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 deployIfNotExists 5.0.0
Linux 仮想マシン用の Dependency Agent のデプロイ 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux 仮想マシン用にエージェントをデプロイします。 deployIfNotExists 5.0.0
Batch アカウントの診断設定をイベント ハブにデプロイする Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Batch アカウントの診断設定を Log Analytics ワークスペースにデプロイする Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Data Lake Analytics の診断設定をイベント ハブにデプロイする Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Data Lake Analytics の診断設定を Log Analytics ワークスペースにデプロイする Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Data Lake Storage Gen1 の診断設定をイベント ハブにデプロイする Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Data Lake Storage Gen1 の診断設定を Log Analytics ワークスペースにデプロイする Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
イベント ハブの診断設定をイベント ハブにデプロイする イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.1.0
イベント ハブの診断設定を Log Analytics ワークスペースにデプロイする イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Key Vault の診断設定を Log Analytics ワークスペースにデプロイする Key Vault の診断設定をデプロイして、この診断設定がない Key Vault が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 3.0.0
Logic Apps の診断設定をイベント ハブにデプロイする Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Logic Apps の診断設定を Log Analytics ワークスペースにデプロイする Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
ネットワーク セキュリティ グループの診断設定のデプロイ このポリシーは、ネットワーク セキュリティ グループに対して診断設定を自動的にデプロイします。 '{storagePrefixParameter}{NSGLocation}' という名前のストレージ アカウントが自動的に作成されます。 deployIfNotExists 2.0.0
Search サービスの診断設定をイベント ハブにデプロイする Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Search サービスの診断設定を Log Analytics ワークスペースにデプロイする Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Service Bus の診断設定をイベント ハブにデプロイする Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Service Bus の診断設定を Log Analytics ワークスペースにデプロイする Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Stream Analytics の診断設定をイベント ハブにデプロイする Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Stream Analytics の診断設定を Log Analytics ワークスペースにデプロイする Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Linux 仮想マシン スケール セット用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 定義された一覧に VM イメージ (OS) があり、Log Analytics 拡張機能がインストールされていない場合は、Linux Virtual Machine Scale Sets 用に拡張機能をデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 非推奨の通知: Log Analytics エージェントは、2024 年 8 月 31 日以降はサポートされません。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります deployIfNotExists 3.0.0
Linux VM 用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 定義されている一覧に VM イメージ (OS) があり、この Linux VM 用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります deployIfNotExists 3.0.0
Linux Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある Linux Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーでは、サポートされているリージョンの Arc 対応マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 AuditIfNotExists、Disabled 1.0.1
Linux 仮想マシン スケール セットには Azure Monitor エージェントがインストールされている必要がある Linux 仮想マシン スケール セットは、デプロイされた Azure Monitor Agent を使用して監視して保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシン スケール セットを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 AuditIfNotExists、Disabled 3.0.0
Linux 仮想マシンには Azure Monitor エージェントがインストールされている必要がある Linux 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 AuditIfNotExists、Disabled 3.0.0
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 AuditIfNotExists、Disabled 2.0.1
Log Analytics ワークスペースでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Log Analytics ワークスペースでは、Azure Active Directory ベースではない取り込みをブロックする必要がある。 ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 Deny、Audit、Disabled 1.0.0
パブリック IP アドレスでは Azure DDoS Protection Standard のリソース ログが有効になっている必要がある Log Analytics ワークスペースにストリーム配信するために、診断設定でパブリック IP アドレスのリソース ログを有効にします。 通知、レポート、フロー ログを使用して、攻撃のトラフィックと DDoS 攻撃を軽減するために取られた処置に関する詳細を表示します。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0
サポートされているリソースの監査に対してリソース ログを有効にする必要がある リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 選択したリソースの種類にカテゴリ グループ 監査の診断設定が存在すると、これらのログが有効になり、キャプチャされます。 適用可能なリソースの種類は、"監査" カテゴリ グループをサポートするリソースの種類です。 AuditIfNotExists、Disabled 1.0.0
Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の点について詳しくは、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 AuditIfNotExists、Disabled 1.0.0
レガシ Log Analytics 拡張機能を Azure Arc 対応 Linux サーバーにインストールしてはならない レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能のアンインストール後、このポリシーによって今後、Azure Arc 対応 Linux サーバーにレガシ エージェント拡張機能をインストールすることが拒否されます。 詳細情報: https://aka.ms/migratetoAMA Deny、Audit、Disabled 1.0.0
レガシ Log Analytics 拡張機能を Azure Arc 対応 Windows サーバーにインストールしてはならない レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能のアンインストール後、このポリシーによって今後、Azure Arc 対応 Windows サーバーにレガシ エージェント拡張機能をインストールすることが拒否されます。 詳細情報: https://aka.ms/migratetoAMA Deny、Audit、Disabled 1.0.0
レガシ Log Analytics 拡張機能を Linux 仮想マシン スケール セットにインストールしてはならない レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA Deny、Audit、Disabled 1.0.0
レガシ Log Analytics 拡張機能を Linux 仮想マシンにインストールしてはならない レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA Deny、Audit、Disabled 1.0.0
レガシ Log Analytics 拡張機能を仮想マシン スケール セットにインストールしてはならない レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Windows 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA Deny、Audit、Disabled 1.0.0
レガシ Log Analytics 拡張機能を仮想マシンにインストールしてはならない レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Windows 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA Deny、Audit、Disabled 1.0.0
Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の Virtual Machine Scale Sets を監査します。 AuditIfNotExists、Disabled 1.0.1
仮想マシンは、指定されたワークスペースに接続する必要がある ポリシーまたはイニシアティブ割り当てで指定されている Log Analytics ワークスペースに仮想マシンがログを記録していない場合、それらを非準拠として報告します。 AuditIfNotExists、Disabled 1.1.0
仮想マシンには Log Analytics 拡張機能がインストールされている必要がある このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 AuditIfNotExists、Disabled 1.0.1
Windows Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある Windows Arc 対応マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされているリージョンの Windows Arc 対応マシンは、Azure Monitor エージェントのデプロイで監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 AuditIfNotExists、Disabled 1.0.1
Windows 仮想マシン スケール セットに Azure Monitor エージェントがインストールされている必要がある Window 仮想マシン スケール セットは、デプロイされた Azure Monitor Agent を使用して監視して保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS を備えた仮想マシン スケール セットとサポートされているリージョンで、Azure Monitor エージェントのデプロイが監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 AuditIfNotExists、Disabled 3.0.0
Windows 仮想マシンに Azure Monitor エージェントがインストールされている必要がある Windows 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS およびサポートされているリージョンの Windows 仮想マシンは、Windows Azure Monitor エージェントのデプロイが監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 AuditIfNotExists、Disabled 3.0.0
ブックはユーザーが制御するストレージ アカウントに保存する必要がある 独自のストレージ (BYOS) を使用すると、ブックはユーザーが制御するストレージ アカウントにアップロードされます。 つまり、保存時の暗号化ポリシー、有効期間の管理ポリシー、ネットワーク アクセスをユーザーが制御することになります。 ただし、そのストレージ アカウントに関連するコストについては、お客様が責任を負うものとします。 詳細については、 https://aka.ms/workbooksByos にアクセスしてください deny、Deny、audit、Audit、disabled、Disabled 1.1.0

ネットワーク

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください AuditIfNotExists、Disabled 3.0.0-preview
[プレビュー]: [プレビュー]: Container Registry は仮想ネットワーク サービス エンドポイントを使う必要がある このポリシーでは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのコンテナー レジストリを監査します。 Audit、Disabled 1.0.0-preview
カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要があります このポリシーでは、すべての Azure 仮想ネットワーク ゲートウェイ接続がカスタム インターネット プロトコル セキュリティ (Ipsec) またはインターネット キー交換 (IKE) ポリシーを使用することを確認します。 サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください Audit、Disabled 1.0.0
App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク サービス エンドポイントを使用して、Azure 仮想ネットワークと選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 AuditIfNotExists、Disabled 2.0.0
Azure ファイアウォール ポリシーではアプリケーション ルール内で TLS 検査を有効にする必要がある HTTPS で悪意のあるアクティビティの検出、アラート通知、軽減を行うために、すべてのアプリケーション ルールで TLS 検査を有効にすることをお勧めします。 Azure Firewall を使用した TLS 検査の詳細については、https://aka.ms/fw-tlsinspect にアクセスしてください Audit、Deny、Disabled 1.0.0
Azure Firewall Premium で、TLS 検査を有効にするために有効な中間証明書を構成する必要がある 有効な中間証明書を構成し、Azure Firewall Premium TLS 検査を有効にして、HTTPS の悪意のあるアクティビティを検出し、警告し、軽減します。 Azure Firewall を使用した TLS 検査の詳細については、https://aka.ms/fw-tlsinspect にアクセスしてください Audit、Deny、Disabled 1.0.0
Azure VPN ゲートウェイで 'Basic' SKU を使用しないでください このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。 Audit、Disabled 1.0.0
Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 Audit、Deny、Disabled 1.0.2
Firewall Policy Premium で、侵入検出および防止システム (IDPS) のバイパス一覧を空にする必要がある 侵入検出および防止システム (IDPS) バイパス一覧を使用すると、バイパス一覧に指定された IP アドレス、範囲、サブネットへのトラフィックをフィルター処理しないようにすることができます。 ただし、既知の脅威をより適切に特定するために、すべてのトラフィック フローに対して IDPS を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、https://aka.ms/fw-idps-signature を参照してください Audit、Deny、Disabled 1.0.0
Azure ネットワーク セキュリティ グループの診断設定を Log Analytics ワークスペースに構成する Azure ネットワーク セキュリティ グループのリソース ログを Log Analytics ワークスペースにストリーミングする診断設定をデプロイします。 DeployIfNotExists、Disabled 1.0.0
トラフィック分析を有効にするためにネットワーク セキュリティ グループを構成する トラフィック分析は、ポリシーの作成時に指定された設定を使用して、特定のリージョンでホストされているすべてのネットワーク セキュリティ グループに対して有効にできます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 それを持たないネットワーク セキュリティ グループでは、フロー ログも有効化されます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 DeployIfNotExists、Disabled 1.1.0
トラフィック分析に特定のワークスペース、ストレージ アカウント、フローログ保持ポリシーを使用するようにネットワーク セキュリティ グループを構成する トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 DeployIfNotExists、Disabled 1.1.0
Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。 Audit、Disabled 1.0.0
ターゲット ネットワーク セキュリティ グループを使用してフロー ログ リソースをデプロイする 特定のネットワーク セキュリティ グループのフロー ログを構成します。 ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 deployIfNotExists 1.0.1
仮想ネットワーク作成時の Network Watcher のデプロイ このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。 Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。 DeployIfNotExists 1.0.0
イベント ハブは仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのイベント ハブを監査します。 AuditIfNotExists、Disabled 1.0.0
Firewall Policy Premium で、すべての IDPS シグネチャ ルールを有効にして、すべての受信および送信トラフィック フローを監視する必要がある トラフィック フロー内の既知の脅威をより適切に識別するために、すべての侵入検出および防止システム (IDPS) シグネチャ ルールを有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、https://aka.ms/fw-idps-signature を参照してください Audit、Deny、Disabled 1.0.0
Firewall Policy Premium で、侵入検出および防止システム (IDPS) を有効にする必要がある 侵入検出および防止システム (IDPS) を有効にすると、ネットワークを監視して悪意のあるアクティビティがないか確認し、このアクティビティに関する情報をログに記録し、それを報告して、必要に応じてそのブロックを試みることができます。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) の詳細については、https://aka.ms/fw-idps を参照してください Audit、Deny、Disabled 1.0.0
すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 Audit、Disabled 1.1.0
すべてのネットワーク セキュリティ グループに対してフロー ログを有効にする必要がある フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 Audit、Disabled 1.0.0
ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。 ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。 deny 1.0.0
Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 Audit、Disabled 1.0.0
ネットワーク インターフェイスで IP 転送を無効にする このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。 IP 転送の設定により、Azure によるネットワーク インターフェイスの送信元と送信先のチェックが無効になります。 これは、ネットワーク セキュリティ チームが確認する必要があります。 deny 1.0.0
ネットワーク インターフェイスにはパブリック IP を設定できない このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。 これは、ネットワーク セキュリティ チームが確認する必要があります。 deny 1.0.0
Network Watcher のフロー ログではトラフィック分析を有効にする必要がある トラフィック分析では、Network Watcher のネットワーク セキュリティ グループ フロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの誤った構成などを特定することができます。 Audit、Disabled 1.0.0
Network Watcher を有効にする必要がある Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 AuditIfNotExists、Disabled 3.0.0
SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。 AuditIfNotExists、Disabled 1.0.0
ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 Audit、Disabled 1.0.0
追加の保護レイヤーを提供するために、サブスクリプションで Azure Firewall Premium を構成する必要がある Azure Firewall Premium により、機密性が高く、規制された環境のニーズを満たす高度な脅威保護が提供されます。 Azure Firewall Premium をサブスクリプションにデプロイし、すべてのサービス トラフィックが Azure Firewall Premium によって保護されていることを確認します。 Azure Firewall Premium の詳細については、https://aka.ms/fw-premium を参照してください AuditIfNotExists、Disabled 1.0.0
仮想マシンは、承認された仮想ネットワークに接続する必要があります このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。 Audit、Deny、Disabled 1.0.0
仮想ネットワークを Azure DDoS Protection Standard によって保護する必要がある Azure DDoS Protection Standard を使用して、仮想ネットワークを帯域幅消費およびプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 Modify、Audit、Disabled 1.0.0
仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。 AuditIfNotExists、Disabled 1.0.0
VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細は https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant で確認してください Audit、Deny、Disabled 1.0.0
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 Audit、Deny、Disabled 2.0.0
Web Application Firewall (WAF) では、Application Gateway のすべてのファイアウォール規則を有効にする必要がある すべての Web Application Firewall (WAF) ルールを有効にすると、アプリケーションのセキュリティが強化され、Web アプリケーションが一般的な脆弱性から保護されます。 Application Gateway での Web Application Firewall (WAF) の詳細については、https://aka.ms/waf-ag を参照してください Audit、Deny、Disabled 1.0.1
Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。 Audit、Deny、Disabled 1.0.0
Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。 Audit、Deny、Disabled 1.0.0

ポータル

名前
(Azure portal)
説明 効果 Version
(GitHub)
インライン コンテンツを含むマークダウン タイルを共有ダッシュボードに含めることはできない インライン コンテンツを含む共有ダッシュボードを Markdown タイルで作成することを禁止し、オンラインでホストされている Markdown ファイルとしてコンテンツを保存するようにします。 Markdown タイルでインライン コンテンツを使用した場合は、コンテンツの暗号化を管理できません。 独自のストレージを構成することによって、暗号化や二重暗号化を行うだけでなく、独自のキーを使用することもできます。 このポリシーを有効にすると、ユーザーは、2020-09-01-preview 以降のバージョンの共有ダッシュボード REST API を使用するよう制限されます。 Audit、Deny、Disabled 1.0.0
名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Cognitive Search の認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 [ローカル認証を無効にする] パラメーターはまだプレビュー段階であるのに対し、このポリシーの拒否効果によって、Azure Cognitive Search ポータルの機能が制限される可能性があります。これは、ポータルの一部の機能では、パラメーターをサポートしない GA API が使用されるためです。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスではカスタマー マネージド キーを使用して保存データを暗号化する必要がある Azure Cognitive Search サービスでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存データの暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、キー コンテナーを使用してデータ暗号化キーを管理するための特別なコンプライアンス要件を持つ顧客に適用できます。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスはプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Audit、Disabled 1.0.0
ローカル認証を無効にするように Azure Cognitive Search サービスを構成する ローカル認証方法を無効にして、Azure Cognitive Search サービスの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/azure-cognitive-search/rbac を参照してください。 Modify、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするよう Azure Cognitive Search サービスを構成する Azure Cognitive Search サービスのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するよう Azure Cognitive Search サービスを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cognitive Search Service サービスを解決します。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Cognitive Search サービスを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Cognitive Search サービスにマッピングすると、データ漏えいのリスクを軽減できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
Search サービスのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Security Center

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: Azure Security エージェントを Linux Arc マシンにインストールする必要がある Linux Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシン スケール セットにインストールする必要がある Linux 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシンにインストールする必要がある Linux 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントを Windows Arc マシンにインストールする必要がある Windows Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシン スケール セットにインストールする必要がある Windows 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシンにインストールする必要がある Windows 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: ChangeTracking 拡張機能を Linux Arc マシンにインストールする必要がある Linux Arc マシンにChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシンにインストールする必要がある Linux 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシン スケール セットにインストールする必要がある Linux 仮想マシンのスケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: ChangeTracking 拡張機能を Windows Arc マシンにインストールする必要がある Windows Arc マシンにChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: ChangeTracking 拡張機能を Windows 仮想マシンにインストールする必要がある Windows 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: ChangeTracking 拡張機能を Windows 仮想マシン スケール セットにインストールする必要がある Windows 仮想マシンのスケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するように Arc マシンを構成する Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するように Arc マシンを構成します。 Microsoft Defender for Cloud は、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 監査レコードを保存するマシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.2.0-preview
[プレビュー]: [プレビュー]: Azure Monitor エージェントを使用して Microsoft Defender for Cloud ユーザー定義パイプラインを作成するように Arc マシンを構成する Azure Monitor エージェントを使用して Microsoft Defender for Cloud のユーザー定義のパイプラインを作成するように Arc マシンを構成します。 Microsoft Defender for Cloud は、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー指定の Log Analytics ワークスペースを使用して監査レコードを保存します。 ユーザー指定の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 サポートされている場所にターゲット Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.2.0-preview
[プレビュー]: [プレビュー]: Arc マシンを既定の Microsoft Defender for Cloud データ収集ルールにリンクするように関連付けを構成する Microsoft Defender for Cloud の既定のデータ収集ルールとの関連付けを自動的に作成するように Arc マシンを構成します。 この関連付けを削除すると、この Arc マシンのセキュリティの脆弱性の検出が中断されます。 サポートされている場所にターゲット Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: Arc マシンをユーザー定義の Microsoft Defender for Cloud データ収集ルールにリンクするように関連付けを構成する Microsoft Defender for Cloud のユーザー定義のデータ収集ルールとの関連付けを自動的に作成するように Arc マシンを構成します。 この関連付けを削除すると、この Arc マシンのセキュリティの脆弱性の検出が中断されます。 サポートされている場所にターゲット Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: 仮想マシンを既定の Microsoft Defender for Cloud データ収集ルールにリンクするように関連付けを構成する Microsoft Defender for Cloud の既定のデータ収集ルールとの関連付けを自動的に作成するようにマシンを構成します。 この関連付けを削除すると、この仮想マシンのセキュリティの脆弱性の検出が中断されます。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 2.1.1-preview
[プレビュー]: [プレビュー]: 仮想マシンをユーザー定義の Microsoft Defender for Cloud データ収集ルールにリンクするように関連付けを構成する Microsoft Defender for Cloud のユーザー定義のデータ収集ルールとの関連付けを自動的に作成するようにマシンを構成します。 この関連付けを削除すると、この仮想マシンのセキュリティの脆弱性の検出が中断されます。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.1.1-preview
[プレビュー]: [プレビュー]: 仮想マシン上の Azure Defender for SQL エージェントを構成する Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Linux Arc マシン用に ChangeTracking 拡張機能を構成する Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux Arc マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Linux 仮想マシン スケール セット用に ChangeTracking 拡張機能を構成する Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシン スケール セットを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Linux 仮想マシン用に ChangeTracking 拡張機能を構成する Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Windows Arc マシン用に ChangeTracking 拡張機能を構成する Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows Arc マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Windows 仮想マシン スケール セット用に ChangeTracking 拡張機能を構成する Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows 仮想マシン スケール セットを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Windows 仮想マシン用に ChangeTracking 拡張機能を構成する Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows 仮想マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: [プレビュー]: Azure Monitor エージェントを使用して Microsoft Defender for Cloud ユーザー定義パイプラインを作成するようにマシンを構成する Azure Monitor エージェントを使用して Microsoft Defender for Cloud のユーザー定義のパイプラインを作成するようにマシンを構成します。 Microsoft Defender for Cloud は、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザーが指定した Log Analytics ワークスペースを使用して、監査レコードを保存します。 ユーザーが指定した Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.2.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Linux Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する サポートされている Linux 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 6.0.0-preview
[プレビュー]: [プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 DeployIfNotExists、Disabled 5.0.0 - プレビュー
[プレビュー]: [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 7.0.0-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する サポートされている Linux 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 7.0.0-preview
[プレビュー]: [プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Windows Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 5.0.0 - プレビュー
[プレビュー]: [プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ターゲット Windows 仮想マシン スケール セットは、サポートされている場所に存在する必要があります。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する サポートされている Windows 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 4.0.0-preview
[プレビュー]: [プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Windows 仮想マシンを構成する ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Windows 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 DeployIfNotExists、Disabled 3.0.0-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシンを構成する サポートされている Windows 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 5.0.0 - プレビュー
[プレビュー]: [プレビュー]: Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するように仮想マシンを構成する Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するように仮想マシンを構成します。 Microsoft Defender for Cloud は、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 監査レコードを保存するマシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 5.2.0-preview
[プレビュー]: [プレビュー]: Shared Image Gallery イメージを使用して作成された VM を構成して、ゲスト構成証明の拡張機能をインストールする Shared Image Gallery イメージを使用して作成された 仮想マシンを、ゲスト構成証明の拡張機能を自動的にインストールするように構成して、Azure Security Center でブートの整合性を積極的に認証、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Shared Image Gallery イメージを使用して作成された VMSS を構成して、ゲスト構成証明の拡張機能をインストールする Shared Image Gallery イメージを使用して作成された VMSS を、ゲスト構成証明の拡張機能を自動的にインストールするように構成して、Azure Security Center でブートの整合性を積極的に認証、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: [プレビュー]: Linux ハイブリッド マシンに Microsoft Defender for Endpoint エージェントをデプロイする Linux ハイブリッド マシンに Microsoft Defender for Endpoint エージェントをデプロイします DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: [プレビュー]: Linux 仮想マシンに Microsoft Defender for Endpoint エージェントをデプロイする 適用対象の Linux VM イメージに Microsoft Defender for Endpoint エージェントをデプロイします。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: [プレビュー]: Windows Azure Arc マシンに Microsoft Defender for Endpoint エージェントをデプロイする Windows Azure Arc マシンに Microsoft Defender for Endpoint をデプロイします。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: [プレビュー]: Windows 仮想マシンに Microsoft Defender for Endpoint エージェントをデプロイする 適用対象の Windows VM イメージに Microsoft Defender for Endpoint をデプロイします。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 AuditIfNotExists、Disabled 6.0.0-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 5.0.0 - プレビュー
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシンにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 AuditIfNotExists、Disabled 4.0.0-preview
[プレビュー]: [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 3.0.0-preview
[プレビュー]: [プレビュー]: Linux 仮想マシンではセキュア ブートを使う必要がある マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要がある Azure の利用規約では、Microsoft サーバーまたはネットワークを破損、無効化、過大な過大、または損なう可能性のある方法で Azure サービスを使用することを禁止しています。 このレコメンデーションによって識別される公開ポートは、継続的なセキュリティのために閉じる必要があります。 特定されたポートごとに、レコメンデーションでは潜在的な脅威の説明も示します。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある サポートしている Windows 仮想マシンでセキュア ブートを有効にし、ブート チェーンに対する悪意ある、および未認可の変更を対策します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 Audit、Disabled 4.0.0-preview
[プレビュー]: [プレビュー]: システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある サポートしている仮想マシンで仮想 TPM デバイスを有効にし、メジャー ブートなど、TPM が必要な OS のセキュリティ機能を使用できるようにします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 Audit、Disabled 2.0.0-preview
サブスクリプションには最大 3 人の所有者を指定する必要がある セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 AuditIfNotExists、Disabled 3.0.0
脆弱性評価ソリューションを仮想マシンで有効にする必要がある 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 AuditIfNotExists、Disabled 3.0.0
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 AuditIfNotExists、Disabled 3.0.0
アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します AuditIfNotExists、Disabled 3.0.0
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 AuditIfNotExists、Disabled 3.0.0
適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 AuditIfNotExists、Disabled 3.0.0
Arc 対応 SQL Server Defender の状態を保護する必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 Audit、Disabled 1.0.0
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 Audit、Disabled 2.0.1
サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 AuditIfNotExists、Disabled 1.0.1
Azure DDoS Protection Standard を有効にする必要がある パブリック IP を持つアプリケーション ゲートウェイに属するサブネットがあるすべての仮想ネットワークで、DDoS Protection Standard が有効でなければなりません。 AuditIfNotExists、Disabled 3.0.0
Azure Defender for App Service を有効にする必要がある Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for DNS を有効にする必要がある Azure Defender for DNS では、Azure リソースからすべての DNS クエリを継続的に監視することにより、クラウド リソースに対して追加の保護層を提供します。 Azure Defender では、DNS 層での不審なアクティビティについて警告します。 Azure Defender for DNS の機能に関する詳細については、https://aka.ms/defender-for-dns を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
Azure Defender for Key Vault を有効にする必要がある Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 AuditIfNotExists、Disabled 1.0.3
オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
Azure Defender for Resource Manager を有効にする必要がある Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for SQL servers on machines を有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Storage を有効にする必要がある Azure Defender for Storage により、ストレージ アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性がある試行を検出できます。 AuditIfNotExists、Disabled 1.0.3
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 AuditIfNotExists、Disabled 1.0.0
Cloud Services (延長サポート) ロール インスタンスでは Endpoint Protection ソリューションがインストールされている必要がある Endpoint Protection ソリューションがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスを脅威と脆弱性から保護します。 AuditIfNotExists、Disabled 1.0.0
Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 AuditIfNotExists、Disabled 1.0.0
Azure Defender for App Service を構成して有効にする Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 DeployIfNotExists、Disabled 1.0.1
Azure Defender for Azure SQL Database を構成して有効にする Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for DNS を構成して有効にする Azure Defender for DNS では、Azure リソースからすべての DNS クエリを継続的に監視することにより、クラウド リソースに対して追加の保護層を提供します。 Azure Defender では、DNS 層での不審なアクティビティについて警告します。 Azure Defender for DNS の機能に関する詳細については、https://aka.ms/defender-for-dns を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.1
Azure Defender for Key Vault を構成して有効にする Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 DeployIfNotExists、Disabled 1.0.1
オープンソース リレーショナル データベース用 Azure Defender を構成し有効にする オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.0
Azure Defender for Resource Manager を構成して有効にする Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.1
サーバー用 Azure Defender を構成して有効にする サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for SQL servers on machines を構成して有効にする Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for Storage を構成して有効にする Azure Defender for Storage により、ストレージ アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性がある試行を検出できます。 DeployIfNotExists、Disabled 1.0.0
脆弱性評価プロバイダーを受け取るようにマシンを構成する Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 DeployIfNotExists、Disabled 4.0.0
Microsoft Defender for API の構成を有効にする必要がある Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティの構成の誤りをモニターするために、新しい発見、保護、検出、および応答のカバレッジをもたらします。 DeployIfNotExists、Disabled 1.0.0
Microsoft Defender for Azure Cosmos DB を有効に構成する Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 DeployIfNotExists、Disabled 1.0.0
Microsoft Defender for Containers を有効にするように構成する Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 DeployIfNotExists、Disabled 1.0.0
Synapse ワークスペースで Microsoft Defender for SQL を有効にするように構成する Azure Synapse ワークスペースで Microsoft Defender for SQL を有効にして、データベースにアクセスしたり SQL データベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 DeployIfNotExists、Disabled 1.0.0
コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 AuditIfNotExists、Disabled 2.0.1
デプロイ - Azure Security Center アラートの抑制ルールを構成する 管理グループまたはサブスクリプションに対して抑制ルールをデプロイして Azure Security Center アラートを抑制し、アラート疲れを軽減します。 deployIfNotExists 1.0.0
Microsoft Defender for Cloud のデータについてイベント ハブへのエクスポートをデプロイする Microsoft Defender for Cloud のデータについてイベント ハブへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット イベント ハブを使用して、イベント ハブ構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.1.0
Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートをデプロイする Microsoft Defender for Cloud のデータについて Log Analytics ワークスペースへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット ワークスペースを使用して、Log Analytics ワークスペース構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.1.0
クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する Microsoft Defender for Cloud アラートの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 5.0.0
クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ Microsoft Defender for Cloud の推奨事項の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 5.0.0
クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する Microsoft Defender for Cloud の規制コンプライアンスの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 5.0.0
非推奨のアカウントをサブスクリプションから削除する必要がある 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 3.0.0
所有者としてのアクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 3.0.0
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.0.1
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 AuditIfNotExists、Disabled 2.0.0
サブスクリプションで Microsoft Defender for Cloud を有効にする Microsoft Defender for Cloud で監視されていない既存のサブスクリプションを識別し、Defender for Cloud の無料機能で保護します。 既に監視されているサブスクリプションは、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 1.0.1
カスタム ワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 カスタム ワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 DeployIfNotExists、Disabled 1.0.0
既定のワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 ASC の既定のワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 DeployIfNotExists、Disabled 1.0.0
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 AuditIfNotExists、Disabled 1.0.0
エンドポイント保護をマシンにインストールする必要がある 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 AuditIfNotExists、Disabled 1.0.0
エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 AuditIfNotExists、Disabled 3.0.0
所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
読み取りアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
書き込みアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
ゲスト構成拡張機能をマシンにインストールする必要がある マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 AuditIfNotExists、Disabled 1.0.2
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
仮想マシン上の IP 転送を無効にする必要がある 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 AuditIfNotExists、Disabled 3.0.0
Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています Audit、Disabled 1.0.2
Log Analytics エージェントを Cloud Services (延長サポート) ロール インスタンスにインストールする必要がある Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 AuditIfNotExists、Disabled 2.0.0
Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します AuditIfNotExists、Disabled 1.0.0
Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 AuditIfNotExists、Disabled 1.0.0
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシンの管理ポートを閉じておく必要がある リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションに対して書き込みアクセス許可があるアカウントでは、MFA を有効にする必要があります アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.1
サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0
Microsoft Defender for API を有効にする必要がある Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティの構成の誤りをモニターするために、新しい発見、保護、検出、および応答のカバレッジをもたらします。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Azure Cosmos DB を有効にする必要がある Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Endpoint Protection の不足を Azure Security Center で監視する Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.2
実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある コンテナー イメージの脆弱性評価では、Kubernetes クラスターで実行されているコンテナー イメージのセキュリティの脆弱性をスキャンし、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 AuditIfNotExists、Disabled 1.0.1
Security Center の Standard 価格レベルを選択する必要がある Standard 価格レベルでは、ネットワークと仮想マシンの脅威検出が可能になり、Azure Security Center で脅威インテリジェンス、異常検出、動作分析が提供されます Audit、Disabled 1.0.0
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.0.0
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 AuditIfNotExists、Disabled 1.0.0
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1
仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある お使いの Windows と Linux の仮想マシン スケール セットが確実にセキュリティで保護されるようにするため、インストールする必要のあるシステムのセキュリティ更新プログラムおよび重要な更新プログラムが不足していないかどうかを監査します。 AuditIfNotExists、Disabled 3.0.0
システム更新プログラムをマシンにインストールする必要がある 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 4.0.0
複数の所有者がサブスクリプションに割り当てられている必要がある 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 AuditIfNotExists、Disabled 3.0.0
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 AuditIfNotExists、Disabled 2.0.3
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください AuditIfNotExists、Disabled 1.0.1
コンテナーのセキュリティ構成の脆弱性を修復する必要があります Docker がインストールされているマシンのセキュリティ構成の脆弱性を監査し、Azure Security Center で推奨事項として表示します。 AuditIfNotExists、Disabled 3.0.0
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある 攻撃から保護するため、お使いの仮想マシン スケール セットの OS 脆弱性を監査します。 AuditIfNotExists、Disabled 3.0.0

Service Bus

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Bus の名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある Service Bus クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります Audit、Deny、Disabled 1.0.1
Azure Service Bus 名前空間では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Service Bus 名前空間の認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Service Bus 名前空間でプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 AuditIfNotExists、Disabled 1.0.0
ローカル認証を無効にするように Azure Service Bus 名前空間を構成する ローカル認証方法を無効にして、Azure ServiceBus 名前空間の認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/disablelocalauth-sb を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Service Bus 名前空間を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Service Bus 名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Service Bus 名前空間を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
Service Bus のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Service Bus 名前空間ではパブリック ネットワーク アクセスを無効にする必要がある Azure Service Bus ではパブリック ネットワーク アクセスを無効にする必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください Audit、Deny、Disabled 1.0.0
Microsoft Azure Service Bus の名前空間では二重暗号化を有効にする必要があります 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Audit、Deny、Disabled 1.0.0
Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 Audit、Disabled 1.0.0

Service Fabric

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します Audit、Deny、Disabled 1.1.0
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します Audit、Deny、Disabled 1.1.0

SignalR

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure SignalR Service では公衆ネットワーク アクセスを無効にする必要がある Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 Audit、Deny、Disabled 1.0.0
Azure SignalR サービスで診断ログを有効にする必要がある 診断ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 1.0.0
Azure SignalR Service では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure SignalR Service の認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
Azure SignalR Service では Private Link 対応の SKU を使用する必要がある Azure Private Link を使用すると、ソースやターゲットでパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。これにより、データがパブリックに漏洩するリスクからリソースを保護できます。 このポリシーにより、Azure SignalR Service の利用が Private Link 対応の SKU に限定されます。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SignalR Service ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 Audit、Disabled 1.0.0
ローカル認証を無効にするように Azure SignalR Service を構成する ローカル認証方法を無効にして、Azure SignalR Service の認証で Azure Active Directory の ID のみを要求するようにします。 Modify、Disabled 1.0.0
Azure SignalR Service に対してプライベート エンドポイントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Azure SignalR Service リソースにプライベート エンドポイントをマッピングすると、データ漏洩のリスクを軽減できます。 詳細については、https://aka.ms/asrs/privatelink をご覧ください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - Azure SignalR Service に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure SignalR Service リソースを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/asrs/privatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Azure SignalR Service リソースを変更する Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 Modify、Disabled 1.0.0

Site Recovery

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [プレビュー]: プライベート DNS ゾーンを使用するよう Azure Recovery Services コンテナーを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: プライベート エンドポイントを Azure Recovery Services コンテナーに構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Recovery Services コンテナーのサイトの回復リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクを使用するには、マネージド サービス ID を Recovery Services コンテナーに割り当てる必要があります。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: [プレビュー]: Recovery Services コンテナーではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 Azure Site Recovery のプライベート リンクの詳細については、https://aka.ms/HybridScenarios-PrivateLink および https://aka.ms/AzureToAzure-PrivateLink を参照してください。 Audit、Disabled 1.0.0-preview

SQL

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 Audit, Disabled, Deny 2.0.0
Azure SQL Database で、Azure Active Directory 専用認証が有効になっている必要があります ローカル認証方法を無効にし、Azure Active Directory 認証のみを許可すると、Azure SQL データベースに Azure Active Directory ID で排他的にアクセスできるようになるため、セキュリティが強化されます。 詳細は、aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SQL Managed Instance で Azure Active Directory 専用認証を有効にする必要がある ローカル認証方法を無効にし、Azure Active Directory 認証のみを許可すると、Azure SQL Managed Instances に Azure Active Directory ID で排他的にアクセスできるようになるため、セキュリティが強化されます。 詳細は、aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 Audit、Deny、Disabled 1.0.0
Azure Database for MariaDB サーバーで Advanced Threat Protection が有効になるように構成する Basic サービス レベル以外の Azure Database for MariaDB サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 DeployIfNotExists、Disabled 1.0.1
Azure Database for MySQL サーバーで Advanced Threat Protection が有効になるように構成する Basic サービス レベル以外の Azure Database for MySQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 DeployIfNotExists、Disabled 1.0.1
Azure Database for PostgreSQL サーバーで Advanced Threat Protection が有効になるように構成する Basic サービス レベル以外の Azure Database for PostgreSQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 DeployIfNotExists、Disabled 1.0.1
SQL Server を実行中の Arc 対応マシンを、SQL Server 拡張機能がインストールされるように構成する。 SQL Server インスタンスが Azure Arc 対応 Windows/Linux Server で見つかったときに、既定で SQL Server - Azure Arc リソースが作成されるようにするには、その Azure Arc 対応 Windows/Linux Server に SQL Server 拡張機能がインストールされている必要があります DeployIfNotExists、Disabled 3.1.0
SQL マネージド インスタンスで Azure Defender を有効にするように構成する Azure SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 DeployIfNotExists、Disabled 2.0.0
Azure Defender を SQL サーバーで有効になるように構成する Azure SQL Server で Azure Defender を有効にして、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 DeployIfNotExists 2.1.0
Azure SQL データベース サーバーの診断設定を Log Analytics ワークスペースに構成する Azure SQL Database サーバーの監査ログを有効にして、この監査を持たない SQL Server が作成または更新されたときに、Log Analytics ワークスペースにログをストリーミングします DeployIfNotExists、Disabled 1.0.2
公衆ネットワーク アクセスを無効にするように Azure SQL サーバーを構成する 公衆ネットワーク アクセス プロパティを無効にすると、パブリック接続がシャットダウンされ、Azure SQL Server にプライベート エンドポイントからのみアクセスできるようになります。 この構成により、Azure SQL Server のすべてのデータベースへの公衆ネットワーク アクセスが無効になります。 Modify、Disabled 1.0.0
プライベート エンドポイント接続が有効になるように Azure SQL サーバーを構成する プライベート エンドポイント接続を使用すると、仮想ネットワーク内のプライベート IP アドレスを介した Azure SQL Database へのプライベート接続が可能になります。 この構成により、セキュリティ体制が向上し、Azure のネットワークツールとシナリオがサポートされます。 DeployIfNotExists、Disabled 1.0.0
監査を有効にするように SQL Server を構成する SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 DeployIfNotExists、Disabled 3.0.0
Log Analytics ワークスペースで監査を有効にするように SQL サーバーを構成する SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 監査が有効になっていない場合、このポリシーでは、指定された Log Analytics ワークスペースにフローするように監査イベントを構成します。 DeployIfNotExists、Disabled 1.0.0
PostgreSQL データベース サーバーでは接続の調整が有効でなければならない このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 AuditIfNotExists、Disabled 1.0.0
デプロイ - Log Analytics ワークスペースにストリーム配信されるように SQL Database の診断設定を構成する SQL Database の診断設定をデプロイして、この診断設定がない SQL Database が作成または更新されたときに、リソース ログが Log Analytics ワークスペースにストリーム配信されるようにします。 DeployIfNotExists、Disabled 4.0.0
SQL サーバーで Advanced Data Security をデプロイする このポリシーを使用して、SQL サーバーでの Advanced Data Security を有効にすることができます。 これには、脅威の検出と脆弱性評価の有効化が含まれます。 SQL サーバーと同じリージョンとリソース グループにストレージ アカウントが自動的に作成され、スキャン結果が "sqlva" プレフィックスを付けて保存されます。 DeployIfNotExists 1.3.0
Azure SQL Database の診断設定をイベント ハブにデプロイする Azure SQL Database の診断設定をデプロイして、この診断設定がない Azure SQL Database が作成または更新されたときにリージョンのイベント ハブにストリーム配信します。 DeployIfNotExists 1.2.0
SQL DB Transparent Data Encryption のデプロイ SQL データベースで Transparent Data Encryption を有効にします DeployIfNotExists、Disabled 2.1.0
PostgreSQL データベース サーバーの切断はログに記録する必要がある。 このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for MySQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある Azure Database for MySQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます。 Audit、Deny、Disabled 1.0.0
Azure Database for PostgreSQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある Azure Database for PostgreSQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます Audit、Deny、Disabled 1.0.0
PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
PostgreSQL データベース サーバーではログ接続が有効でなければならない このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
PostgreSQL データベース サーバーではログ期間が有効でなければならない このポリシーは、log_duration 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 AuditIfNotExists、Disabled 2.0.0
MariaDB サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MariaDB へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MariaDB にあるかどうかを監査する方法が提供されます。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MySQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MySQL にあるかどうかを監査する方法が提供されます。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 AuditIfNotExists、Disabled 1.0.4
PostgreSQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for PostgreSQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for PostgreSQL にあるかどうかを監査する方法が提供されます。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 AuditIfNotExists、Disabled 1.0.4
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 Audit、Disabled 1.1.0
MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Deny、Disabled 1.1.0
MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Deny、Disabled 2.0.0
MySQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for MySQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Deny、Disabled 2.0.0
MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Deny、Disabled 2.0.0
PostgreSQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for PostgreSQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Deny、Disabled 3.0.0
PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Deny、Disabled 2.0.0
重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならない 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要があります AuditIfNotExists、Disabled 1.0.0
SQL データベースでは GRS バックアップ冗長の使用を避ける データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 Deny、Disabled 2.0.0