Azure Policy の組み込みのポリシー定義
このページは、Azure Policy の組み込みのポリシー定義のインデックスです。
各組み込みの名前は、Azure portal のポリシー定義にリンクしています。 [ソース] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。 組み込みは、メタデータ内のカテゴリ プロパティによってグループ化されます。 特定のカテゴリに移動するには、ブラウザーの検索機能に Ctrl-F キーを使用します。
API for FHIR
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure API for FHIR に格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | audit、Audit、disabled、Disabled | 1.1.0 |
Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | クロス オリジン リソース共有 (CORS) で API for FHIR へのアクセスをすべてのドメインに許可することは避けます。 API for FHIR を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 | audit、Audit、disabled、Disabled | 1.1.0 |
API Management
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
API Management の API では暗号化されたプロトコルのみを使用する必要がある | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | Audit, Disabled, Deny | 2.0.2 |
API Management から API バックエンドへの呼び出しは認証する必要がある | API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 | Audit, Disabled, Deny | 1.0.1 |
API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | API セキュリティを改善するために、API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 | Audit, Disabled, Deny | 1.0.2 |
API Management の直接管理エンドポイントを有効にしてはならない | Azure API Management の直接管理 REST API を使用すると、Azure Resource Manager のロールベースのアクセス制御、承認、調整メカニズムがバイパスされるため、サービスの脆弱性が高まります。 | Audit, Disabled, Deny | 1.0.2 |
API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | Audit, Disabled, Deny | 1.0.2 |
API Management サービスで仮想ネットワークをサポートする SKU を使用する必要がある | API Management のサポートされている SKU を使用して、仮想ネットワークにサービスをデプロイすると、高度な API Management ネットワークとセキュリティ機能のロックが解除されるため、ネットワーク セキュリティの構成をより細かく制御できます。 詳細については、https://aka.ms/apimvnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | AuditIfNotExists、Disabled | 1.0.1 |
API Management でユーザー名とパスワードの認証を無効にする必要があります | 開発者ポータルのセキュリティを強化するには、API Management でのユーザー名とパスワードの認証を無効にする必要があります。 Azure AD または Azure AD B2C ID プロバイダーを使用したユーザー認証を構成し、既定のユーザー名とパスワードの認証を無効にします。 | Audit、Disabled | 1.0.1 |
API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | Audit, Disabled, Deny | 1.1.0 |
Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください | Audit、Deny、Disabled | 1.0.0 |
API Management パブリック サービス構成エンドポイントへのアクセスを無効にするように API Management サービスを構成する | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | DeployIfNotExists、Disabled | 1.1.0 |
API Management を変更してユーザー名とパスワードの認証を無効にする | 開発者ポータルのユーザー アカウントとその資格情報のセキュリティを強化するには、Azure AD または Azure AD B2C ID プロバイダーを使用してユーザー認証を構成し、既定のユーザー名とパスワードの認証を無効にします。 | 変更 | 1.1.0 |
App Configuration
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Configuration でパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Configuration はカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。 | Audit、Deny、Disabled | 1.1.0 |
App Configuration ではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Configuration は geo レプリケーションを使用する必要があります | geo レプリケーション機能を使用して、回復性と可用性を強化するために、現在の構成ストアの他の場所にレプリカを作成します。 さらに、マルチリージョン レプリカを使用すると、より適切な負荷分散、待機時間の短縮、データセンターの停止からの保護、グローバル分散ワークロードのコンパートメント化が可能になります。 詳細については、https://aka.ms/appconfig/geo-replication を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
App Configuration ストアでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、App Configuration ストアの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
ローカル認証方法を無効にするように App Configuration ストアを構成する | ローカルの認証方法を無効にして、App Configuration ストアの認証で Microsoft Entra の ID のみを要求するようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 | Modify、Disabled | 1.0.1 |
App Configuration でパブリック ネットワーク アクセスを無効に構成する | App Configuration のパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | Modify、Disabled | 1.0.0 |
App Configuration に接続されているプライベート エンドポイントのプライベート DNS ゾーンを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、アプリ構成インスタンスを解決することができます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
App Configuration のプライベート エンドポイントの構成 | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
アプリ プラットフォーム
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: 分散トレースが有効になっていない Azure Spring Cloud インスタンスを監査する | Azure Spring Cloud の分散トレース ツールを使用すると、アプリケーション内のマイクロサービス間の複雑な相互接続のデバッグと監視が可能になります。 分散トレース ツールを有効にして、正常な状態にしてください。 | Audit、Disabled | 1.0.0-preview |
Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
App Service
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Service アプリ スロットを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
App Service アプリ スロットで Azure Virtual Network への構成ルーティングを有効にする必要がある | 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョンの仮想ネットワーク統合を介してルーティングされません。 API を使ってルーティング オプションを true に設定すると、Azure Virtual Network を介した構成トラフィックが有効になります。 これらの設定により、ネットワーク セキュリティ グループやユーザー定義ルートのような機能を使用し、サービス エンドポイントをプライベートにすることができます。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリ スロットでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある | 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリのスロットでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
App Service アプリのスロットでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.4 |
App Service アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.1 |
App Service アプリ スロットでは、リソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 2.0.0 |
App Serivce アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 1.0.0 |
App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、マネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.1.0 |
Java を使用する App Service アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Java バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
PHP を使用する App Service アプリ スロットでは、指定された 'PHP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Python を使用する App Service アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 3.0.0 |
App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
App Service アプリで Azure Virtual Network への構成ルーティングを有効にする必要がある | 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョンの仮想ネットワーク統合を介してルーティングされません。 API を使ってルーティング オプションを true に設定すると、Azure Virtual Network を介した構成トラフィックが有効になります。 これらの設定により、ネットワーク セキュリティ グループやユーザー定義ルートのような機能を使用し、サービス エンドポイントをプライベートにすることができます。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある | 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 | Audit、Deny、Disabled | 1.0.0 |
App Service アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | Audit、Deny、Disabled | 4.1.0 |
App Service アプリでは、コンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 3.0.0 |
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Java バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 |
PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.2.0 |
Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある | App Service Environment にデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワークで IP アドレスを使用して App Service Environment をデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environment を内部ロード バランサーと共にデプロイする必要があります。 | Audit、Deny、Disabled | 3.0.0 |
App Service Environment は最強の TLS 暗号スイートを使用して構成する必要がある | App Service Environment が正常に機能するために必要な、最小と最強の 2 つの暗号スイートは次のとおりです: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 および TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
App Service Environment は最新バージョンでプロビジョニングする必要がある | App Service Environment バージョン 2 またはバージョン 3 のプロビジョニングのみを許可します。 以前のバージョンの App Service Environment では、Azure リソースを手動で管理する必要があり、スケーリングにより大きな制限があります。 | Audit、Deny、Disabled | 1.0.0 |
App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある | TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 TLS 1.0 と 1.1 の受信トラフィックを無効にすると、App Service Environment でアプリを守ることになります。 | Audit、Deny、Disabled | 2.0.1 |
FTP デプロイのローカル認証を無効にするように App Service アプリのスロットを構成する | FTP デプロイのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
SCM サイトのローカル認証を無効にするように App Service アプリのスロットを構成する | SCM サイトのローカル認証方法を無効にすると、App Service スロットの認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
パブリック ネットワーク アクセスを無効にするように App Service アプリ スロットを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように App Service アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように App Service アプリ スロットを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
最新の TLS バージョンを使用するように App Service アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
FTP デプロイのローカル認証を無効にするように App Service アプリを構成する | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
SCM サイトのローカル認証を無効にするように App Service アプリを構成する | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように App Service アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように App Service アプリを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように App Service アプリを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークが App Service にリンクされます。 詳細については、https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
最新の TLS バージョンを使用するように App Service アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
パブリック ネットワーク アクセスを無効にするように関数アプリ スロットを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように関数アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように関数アプリ スロットを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
最新の TLS バージョンを使用するように関数アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.2.0 |
パブリック ネットワーク アクセスを無効にするように関数アプリを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.1.0 |
HTTPS を介してのみアクセスできるように関数アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
リモート デバッグを無効にするように関数アプリを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
最新の TLS バージョンを使用するように関数アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.1.0 |
関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
関数アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 2.0.0 |
関数アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 1.0.0 |
関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.1.0 |
Java を使用する関数アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Python を使用する関数アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
関数アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 | Audit、Disabled | 3.0.0 |
関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Java バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 |
Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
構成証明
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Attestation プロバイダーでパブリック ネットワーク アクセスを無効にする必要がある | Azure Attestation サービスのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 aka.ms/azureattestation の説明に従って、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0 |
Azure Attestation プロバイダーはプライベート エンドポイントを使用する必要がある | プライベート エンドポイントを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Attestation プロバイダーを Azure リソースに接続できます。 プライベート エンドポイントは、パブリック アクセスを防止することにより、望ましくない匿名アクセスから保護するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
自動管理
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: Automanage 構成プロファイルの割り当ては Conformant である必要がある | Automanage によって管理されるリソースの状態は Conformant または ConformantCorrected である必要があります。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 仮想マシンでブート診断を有効にする必要がある | Azure 仮想マシンではブート診断を有効にする必要があります。 | Audit、Disabled | 1.0.0-preview |
Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、選択したスコープに自動管理を適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
カスタム構成プロファイルを使用して Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
Windows Server Azure Edition の VM に対してホットパッチを有効にする必要がある | ホットパッチを使用して、再起動を最小限に抑え、更新プログラムをすばやくインストールします。 詳細については、https://docs.microsoft.com/azure/automanage/automanage-hotpatch を参照してください | Audit、Deny、Disabled | 1.0.0 |
Automation
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Automation アカウントではマネージド ID を使用する必要がある | マネージド ID は、Runbook の Azure リソースで認証するための推奨方法として使用します。 認証のためのマネージド ID は安全性に優れ、Runbook コードで RunAs アカウントを使用することにともなう間接管理費がなくなります。 | Audit、Disabled | 1.0.0 |
Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
Automation アカウントで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Automation アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようになるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/automation-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
ローカル認証を無効にするように Azure Automation アカウントを構成する | ローカル認証方法を無効にして、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようにします。 | Modify、Disabled | 1.0.0 |
公衆ネットワーク アクセスを無効にするように Azure Automation アカウントを構成する | Azure Automation アカウントの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用して Azure Automation アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Private Link を使用して Azure Automation アカウントに接続するには、プライベート DNS ゾーンが適切に構成されている必要があります。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Azure Automation アカウントでのプライベート エンドポイント接続の構成 | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Automation アカウントでプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Active Directory
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Active Directory Domain Services managed domains should use TLS 1.2 only mode (Azure Active Directory Domain Services マネージド ドメインで TLS 1.2 専用モードを使用する必要がある) | マネージド ドメインに対して TLS 1.2 専用モードを使用します。 既定では、Azure AD Domain Services で、NTLM v1 や TLS v1 などの暗号を使用できます。 これらの暗号は、一部のレガシ アプリケーションで必要になる場合がありますが、脆弱と見なされており、不要であれば無効にできます。 TLS 1.2 専用モードが有効になっている場合、TLS 1.2 を使用せずに要求を行うクライアントはすべて失敗します。 詳細については、https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
Azure AI Services
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
Azure AI サービスのリソースでは Azure Private Link を使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 | Audit、Disabled | 1.0.0 |
ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | DeployIfNotExists、Disabled | 1.0.0 |
ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | DeployIfNotExists、Disabled | 1.0.0 |
Azure AI サービス リソースの診断ログを有効にする必要がある | Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
Azure Arc
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスの作成または変更を拒否する。 | このポリシーを使用すると、Windows Server 2012 Arc マシンの ESU ライセンスの作成または変更を制限できます。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | Deny、Disabled | 1.0.0-preview |
[プレビュー]: 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後も Windows 2012 マシンが保護されるようにする。 | 拡張セキュリティ更新プログラム (ESU) ライセンスを有効にして、サポート ライフサイクルが終了した後も Windows 2012 マシンが保護されるようにします。 Azure Arc を使用した Windows Server 2012 用の拡張セキュリティ更新プログラムの配信を準備する方法については、https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates を参照してください。 価格の詳細については、https://aka.ms/ArcWS2012ESUPricing を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
Azure Arc プライベート リンク スコープはプライベート エンドポイントを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Arc リソースがパブリック インターネット経由で接続できなくなるため、セキュリティが強化されます。 プライベート エンドポイントを作成すると、Azure Arc リソースの公開を制限できます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Arc 対応 Kubernetes クラスターは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Arc 対応サーバーは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効に構成する | Azure arc プライベート リンク スコープのパブリック ネットワーク アクセスを無効にして、関連付けられている Azure Arc リソースがパブリック インターネット経由で Azure Arc サービスに接続できないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure Arc プライベート リンク スコープを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Arc プライベート リンク スコープに解決されます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.2.0 |
プライベート エンドポイントを使用して Azure Arc プライベート リンク スコープを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応 Kubernetes クラスターを構成する | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
Azure Arc プライベート リンク スコープを使用するように Azure Arc 対応サーバーを構成する | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/arc/privatelink を参照してください。 | Modify、Disabled | 1.0.0 |
Azure Data Explorer
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Data Explorer 上ですべてのデータベース管理者を無効にする必要がある | すべてのデータベース管理者ロールを無効にして、高い特権を持つ管理ユーザー ロールの付与を制限します。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Explorer クラスターはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Data Explorer クラスターにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Data Explorer における保存時の暗号化でカスタマー マネージド キーを使用する必要がある | Azure Data Explorer クラスターでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、特別なコンプライアンス要件を持つ顧客に適用でき、キーの管理に Key Vault を必要とします。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Explorer ではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
プライベート エンドポイントを指定して Azure Data Explorer クラスターを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Data Explorer にプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細については、[ServiceSpecificAKA.ms] をご覧ください。 | DeployIfNotExists、Disabled | 1.0.0 |
公衆ネットワーク アクセスを無効にするように Azure Data Explorer を構成する | 公衆ネットワーク アクセスのプロパティを無効にすると、パブリック接続がシャットダウンされるので、Azure Data Explorer はプライベート エンドポイントからのみアクセス可能になります。 この構成では、Azure Data Explorer クラスター下のすべてのデータベースについて公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
Azure Data Explorer でディスク暗号化を有効にする必要がある | ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 | Audit、Deny、Disabled | 2.0.0 |
Azure Data Explorer で二重暗号化を有効にする必要がある | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 2.0.0 |
Azure Data Explorer の公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure Data Explorer へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Explorer に対して仮想ネットワークの挿入を有効にする必要がある | ネットワーク セキュリティ グループ規則を適用し、オンプレミスで接続し、サービス エンドポイントを使用してデータ接続ソースのセキュリティで保護できるようにする、仮想ネットワークの挿入によってネットワーク境界をセキュリティで保護します。 | Audit、Deny、Disabled | 1.0.0 |
Azure Databricks
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Databricks クラスターはパブリック IP を無効にする必要がある | Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないことを保証できるので、セキュリティが向上します。 詳細については、https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Databricks ワークスペースは仮想ネットワーク内に存在する必要があります | Azure Virtual Network は、Azure Databricks ワークスペースに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください。 | Audit、Deny、Disabled | 1.0.2 |
Azure Databricks ワークスペースは Private Link や暗号化用カスタマー マネージド キーなどの機能をサポートしている Premium SKU である必要がある | Databricks ワークスペースに、Private Link や暗号化用カスタマー マネージド キーなどの機能をサポートするためにお客様の組織がデプロイ可能な、Premium SKU のみを許可します。 詳細については、https://aka.ms/adbpe を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Databricks ワークスペースではプライベート リンクを使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 | Audit、Disabled | 1.0.2 |
プライベート DNS ゾーンを使用するように Azure Databricks ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Azure Databricks ワークスペースに解決します。 詳細については、https://aka.ms/adbpe を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
プライベート エンドポイントを使用して Azure Databricks ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 | DeployIfNotExists、Disabled | 1.0.2 |
Log Analytics ワークスペースに Azure Databricks ワークスペースの診断設定を構成する | Azure Databricks ワークスペースのリソース ログをストリーミングする診断設定がない Azure Databricks ワークスペースが作成または更新されたときには、その診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 1.0.1 |
Azure Databricks ワークスペースのリソース ログを有効にする必要がある | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
Azure Edge Hardware Center
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Edge Hardware Center デバイスで二重暗号化サポートを有効にする必要がある | Azure Edge Hardware Center からオーダーされたデバイスで、二重暗号化サポートが有効になっていることを確認し、デバイスの保存データを保護します。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 2.0.0 |
Azure ロード テスト
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Load Testing を使用するロード テストは、仮想ネットワーク内からプライベート エンドポイントに対してのみ実行する必要があります。 | Azure Load Testing エンジン インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Load Testing エンジンを仮想ネットワークに分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Load Testing エンジンのやりとりを有効化する。 3. Azure Load Testing エンジンの送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure Load Testing リソースでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キー (CMK) を使用して、Azure Load Testing リソースの保存時の暗号化を管理します。 既定では、暗号化はサービス マネージド キーを使用して行われます。カスタマー マネージド キーを使用すると、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Purview
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Purview アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure Purview アカウントにプライベート エンドポイントをマッピングすると、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/purview-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Stack Edge
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Stack Edge デバイスは二重暗号化を使用する必要がある | デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Update Manager
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure 仮想マシンで定期的な更新をスケジュール設定するための前提条件を設定する | このポリシーでは、パッチ オーケストレーションを "カスタマー マネージド スケジュール" に構成することで、Azure Update Manager で定期的な更新をスケジュールするために必要な前提条件を設定します。 この変更により、パッチ モードが自動的に "AutomaticByPlatform" に設定され、Azure VM で "BypassPlatformSafetyChecksOnUserSchedule" が "True" に設定されます。 前提条件は、Arc 対応サーバーには適用されません。 詳細情報 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists、Disabled | 1.1.0-preview |
Azure Arc 対応サーバーで不足しているシステム更新プログラムの定期的なチェックを構成する | Azure Arc 対応サーバーの OS の更新に対して、自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | 変更 | 2.3.0 |
Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する | ネイティブの Azure 仮想マシンで、OS の更新の自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | 変更 | 4.8.0 |
不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 AssessmentMode プロパティの詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.7.0 |
Azure Update Manager を使用して定期的な更新をスケジュールする | Azure Update Manager を使用すると、Azure、オンプレミス環境、Azure Arc 対応サーバーを使用して接続されている他のクラウド環境に、Windows Server および Linux マシン用のオペレーティング システム更新プログラムをインストールするために、定期的なデプロイ スケジュールを保存できます。 また、このポリシーでは、Azure 仮想マシンのパッチ モードが "AutomaticByPlatform" に変更されます。 詳細情報: https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.12.0 |
バックアップ
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Backup 拡張機能を AKS クラスターにインストールする必要がある | Azure Backup を活用するには、AKS クラスターにバックアップ拡張機能の保護がインストールされているようにします。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: AKS クラスターに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、AKS クラスターを確実に保護します。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ストレージ アカウントの BLOB に対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、ストレージ アカウントを確実に保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Managed Disks に対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Managed Disks を確実に保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Backup Vault では、バックアップ データを暗号化するためにカスタマー マネージド キーを使用する必要があります。 また、Infra Encryption を適用するオプションもあります。 | スコープ内の Backup コンテナーに対して暗号化設定が有効になっている場合、このポリシーは '効果' に従います。 さらに、Backup Vault でもインフラストラクチャ暗号化が有効になっているかどうかを確認するオプションです。 詳細については、https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk をご覧ください。 '拒否' 効果を使用する場合は、コンテナーに対する他の更新操作を許可するために、既存の Backup コンテナーで暗号化設定を有効にする必要があることに注意してください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネット上に Recovery Services コンテナーが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Recovery Services コンテナーの露出を制限できます。 詳細については、https://aka.ms/AB-PublicNetworkAccess-Deny を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | Audit、Disabled | 2.0.0-preview |
[プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Recovery Services コンテナーを構成する | Recovery Services コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/AB-PublicNetworkAccess-Deny を参照してください。 | Modify、Disabled | 1.0.0-preview |
[プレビュー]: 特定のタグの付いた Azure Disks (Managed Disks) を、同じリージョン内の既存のバックアップ コンテナーにバックアップするように構成する | 特定のタグを含むすべての Azure Disk (Managed Disks) のバックアップを、中央のバックアップ コンテナーに対し実施します。 詳細については、https://aka.ms/AB-DiskBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 特定のタグが付いていない Azure Disks (Managed Disks) を、同じリージョン内の既存のバックアップ コンテナーにバックアップするように構成する | 特定のタグを含まないすべての Azure Disk (Managed Disks) のバックアップを、中央のバックアップ コンテナーに対し実施します。 詳細については、https://aka.ms/AB-DiskBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する | 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する | 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
プレビュー: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1-preview |
[プレビュー]: バックアップ用にプライベート エンドポイントを使用するように Recovery Services コンテナーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート エンドポイント構成の対象となるには、コンテナーが特定の前提条件を満たす必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2187162 を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Recovery Services コンテナーのクロス サブスクリプション復元を無効にする | Recovery Services コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットをコンテナー サブスクリプションとは異なるサブスクリプションに含めることができなくなります。 詳細については、https://aka.ms/csrenhancements を参照してください。 | Modify、Disabled | 1.1.0-preview |
[プレビュー]: バックアップ コンテナーのクロス サブスクリプション復元を無効にする | バックアップ コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットはコンテナー サブスクリプションとは異なるサブスクリプションに存在できなくなります。 詳細については、https://aka.ms/csrstatechange を参照してください。 | Modify、Disabled | 1.1.0-preview |
[プレビュー]: 選択したストレージ冗長性の Recovery Services コンテナーの作成を許可しない。 | Recovery Services コンテナーは、現在、3 つのストレージ冗長性オプション、つまりローカル冗長ストレージ、ゾーン冗長ストレージ、geo 冗長ストレージのいずれか 1 つを設定して作成できます。 組織内のポリシーで、特定の冗長性の種類に属するコンテナーの作成をブロックすることが求められている場合、この Azure ポリシーを使用して同じ結果を達成できます。 | Deny、Disabled | 1.0.0-preview |
[プレビュー]: バックアップ コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
[プレビュー]: Recovery Services コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内の Recovery Services コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
[プレビュー]: 特定のタグが付いた AKS クラスター (マネージド クラスター) に、Azure Backup の拡張機能をインストールします。 | Azure Backup の拡張機能のインストールは、AKS クラスターを保護するための前提条件です。 特定のタグを含むすべての AKS クラスターに、バックアップ拡張機能のインストールを実施します。 これを行うと、大規模な AKS クラスターのバックアップを管理するのに役立ちます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 特定のタグが付いていない AKS クラスター (マネージド クラスター) に、 Azure Backup の拡張機能をインストールします。 | Azure Backup の拡張機能のインストールは、AKS クラスターを保護するための前提条件です。 特定のタグ値を持たないすべての AKS クラスターに、バックアップ拡張機能のインストールを適用します。 これを行うと、大規模な AKS クラスターのバックアップを管理するのに役立ちます。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: バックアップ コンテナーに対してマルチユーザー認可 (MUA) を有効にする必要があります。 | このポリシーでは、バックアップ コンテナーに対してマルチユーザー認可 (MUA) を有効になっているか監査します。 MUA は、クリティカルな操作に保護層を追加することでバックアップ コンテナーをセキュリティ保護する目的で役立ちます。 詳細情報はこちら (https://aka.ms/mua-for-bv) をご覧ください。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: Recovery Services コンテナーに対してマルチユーザー認可 (MUA) を有効にする必要がある。 | このポリシーでは、Recovery Services コンテナーに対してマルチユーザー認可 (MUA) を有効になっているか監査します。 MUA は、クリティカルな操作に保護層を追加することで Recovery Services コンテナーをセキュリティ保護する目的で役立ちます。 詳細情報はこちら (https://aka.ms/MUAforRSV) をご覧ください。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: Recovery Services コンテナーに対して論理的な削除を有効にする必要がある。 | このポリシーでは、スコープ内の Recovery Services コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除は、削除された後にデータを復旧するのに役立ちます。 詳細については、https://aka.ms/AB-SoftDelete をご覧ください。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: バックアップ コンテナーに対して論理的な削除を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除では、データが削除された後に復旧させることができます。 詳細については、https://aka.ms/AB-SoftDelete を参照してください | Audit、Disabled | 1.0.0-preview |
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
リソース固有のカテゴリの Log Analytics ワークスペースに Recovery Services コンテナーの診断設定をデプロイする。 | リソース固有のカテゴリの Log Analytics ワークスペースにストリーム配信する Recovery Services コンテナーの診断設定をデプロイします。 リソース固有のカテゴリのいずれかが有効になっていない場合は、新しい診断設定が作成されます。 | deployIfNotExists | 1.0.2 |
Batch
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/Batch-CMK をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Batch プールでディスク暗号化を有効にする必要があります | Azure Batch ディスクの暗号化を有効にすると、データは常に Azure Batch 計算ノードで保存時に暗号化されます。 https://docs.microsoft.com/azure/batch/disk-encryption での Batch ディスク暗号化について確認してください。 | Audit, Disabled, Deny | 1.0.0 |
Batch アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Batch アカウントで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/batch/auth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Batch アカウントを構成してローカル認証を無効にする | ローカル認証方法を無効にして、Batch アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/batch/auth を参照してください。 | Modify、Disabled | 1.0.0 |
公衆ネットワーク アクセスを無効にするように Batch アカウントを構成する | Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Batch アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Batch アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
デプロイ - Batch アカウントに接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する | プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Batch アカウントでメトリック アラート ルールを構成する必要がある | 必須メトリックを有効にするための Batch アカウントにおけるメトリック アラート ルールの構成を監査します | AuditIfNotExists、Disabled | 1.0.0 |
Batch アカウントでプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Batch アカウントでは公衆ネットワーク アクセスを無効にする必要がある | Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
ボット サービス
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Bot Service エンドポイントは有効な HTTPS URI である必要がある | データは送信中に改ざんされる可能性があります。 誤用や改ざんの問題に対処する暗号化を提供するプロトコルが存在します。 確実に暗号化されたチャンネルでのみボットが通信を行うように、エンドポイントを有効な HTTPS URI に設定してください。 そうすることで、HTTPS プロトコルを使用して転送中のデータが確実に暗号化されます。また、これは多くの場合、規制や業界標準に準拠するための要件でもあります。 https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Bot Service は、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft マネージド暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるには、カスタマー マネージド キーを選択します。これは、Bring Your Own Key (BYOK) とも呼ばれます。 Azure Bot Service 暗号化の詳細については、https://docs.microsoft.com/azure/bot-service/bot-service-encryption を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Bot Service で分離モードが有効になっている必要があります | ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
Bot Service では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、ボットが認証のために AAD のみ使用するようになり、セキュリティが強化されます。 | Audit、Deny、Disabled | 1.0.0 |
Bot Service ではパブリック ネットワーク アクセスを無効にする必要がある | ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 | Audit、Deny、Disabled | 1.0.0 |
BotService リソースでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが軽減されます。 | Audit、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように BotService リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、BotService 関連リソースに解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して BotService リソースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクを軽減できます。 | DeployIfNotExists、Disabled | 1.0.0 |
キャッシュ
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Cache for Redis Enterprise では、ディスク データの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キー (CMK) を使用して、ディスク上のデータの保存時の暗号化を管理します。 既定では、顧客データはプラットフォーム マネージド キー (PMK) を使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/RedisCMK をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Cache for Redis Enterprise ではプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis Enterprise インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Cache for Redis でパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cache for Redis が露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって Azure Cache for Redis の露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Cache for Redis では、認証にアクセス キーを使用してはならない | アクセス キーなどのローカル認証方法を使用せず、Microsoft Entra ID (推奨) などのより安全な代替手段を使用することで、Azure Cache for Redis のセキュリティが向上します。 詳細については、aka.ms/redis/disableAccessKeyAuthentication を参照してください | Audit、Deny、Disabled | 1.0.0 |
Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure Cache for Redis Enterprise を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cache for Redis Enterprise を解決することができます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Cache for Redis Enterprise を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis Enterprise リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/redis/privateendpoint を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
SSL ポート以外を無効にするように Azure Cache for Redis を構成する | Azure Cache for Redis への SSL 接続のみを有効にします。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Modify、Disabled | 1.0.0 |
パブリック ネットワーク アクセスを無効にするように Azure Cache for Redis を構成する | Azure Cache for Redis リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これは、データ漏えいのリスクからキャッシュを保護するのに役立ちます。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure Cache for Redis を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cache for Redis を解決することができます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Cache for Redis を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/redis/privateendpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
CDN
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Front Door プロファイルでは、マネージド WAF ルールとプライベート リンクをサポートする Premium レベルを使用する必要がある | Azure Front Door Premium では、Azure マネージド WAF ルールと、サポートされている Azure 配信元へのプライベート リンクがサポートされています。 | Audit、Deny、Disabled | 1.0.0 |
Azure Front Door Standard と Premium では、最小 TLS バージョン 1.2 が実行されている必要があります | バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントからカスタム ドメインがアクセスされるようにすることで、セキュリティが強化されます。 1.2 未満のバージョンの TLS は脆弱で、最新の暗号化アルゴリズムがサポートされていないため、使用は推奨されません。 | Audit、Deny、Disabled | 1.0.0 |
Azure Front Door Premium と Azure Storage Blob または Azure App Service との間のプライベート接続をセキュリティで保護する | プライベート リンクを使用すると、Azure Storage Blob や Azure App Service がインターネットに公開されずに、Azure バックボーン ネットワークを介した AFD Premium と Azure Storage Blob または Azure App Service との間のプライベート接続が保証されます。 | Audit、Disabled | 1.0.0 |
ChangeTrackingAndInventory
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Linux Arc 対応マシンを構成する | 指定したデータ収集ルールに Linux Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Linux Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Linux Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux Virtual Machines を構成する | 指定したデータ収集ルールに Linux 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VM を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.5.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux VMSS を構成する | 指定したデータ収集ルールに Linux 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VMSS を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Windows Arc 対応マシンを構成する | 指定したデータ収集ルールに Windows Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Windows Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Windows Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows Virtual Machines を構成する | 指定したデータ収集ルールに Windows 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VM を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows VMSS を構成する | 指定したデータ収集ルールに Windows 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VMSS を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview |
Cognitive Services
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 | Audit、Deny、Disabled | 2.2.0 |
Cognitive Services アカウントではマネージド ID を使用する必要がある | マネージド ID を Cognitive Service アカウントに割り当てると、安全な認証を確実に行うことができます。 この ID は、この Cognitive Service アカウントが、資格情報を管理しなくても、安全な方法で Azure Key Vault などの他の Azure サービスと通信するために使用されます。 | Audit、Deny、Disabled | 1.0.0 |
Cognitive Services アカウントで顧客所有のストレージを使用する必要がある | Cognitive Services の保存データは、顧客所有のストレージを使用して制御します。 顧客所有のストレージの詳細については、https://aka.ms/cogsvc-cmk を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
ローカル認証方法を無効にするように Cognitive Services アカウントを構成する | ローカル認証方法を無効にして、Cognitive Services アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/cs/auth を参照してください。 | Modify、Disabled | 1.0.0 |
公衆ネットワーク アクセスを無効にするように Cognitive Services アカウントを構成する | Cognitive Services リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Disabled、Modify | 3.0.0 |
プライベート DNS ゾーンを使用するように Cognitive Services アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Cognitive Services アカウントに解決されるようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2110097 を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Cognitive Services アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | DeployIfNotExists、Disabled | 3.0.0 |
通信
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
通信サービス リソースではマネージド ID を使用する必要がある | 通信サービス リソースにマネージド ID を割り当てることは、セキュリティで保護された認証を確保するのに役立ちます。 この ID は、資格情報を管理することなく、安全な方法で Azure Storage などの他の Azure サービスと通信するために、この通信サービス リソースによって使用されます。 | Audit、Deny、Disabled | 1.0.0 |
通信サービス リソースでは許可リストに登録されたデータの場所を使用する必要がある | 許可リストに登録されたデータの場所からのみ、通信サービス リソースを作成します。 このデータの場所によって、通信サービス リソースのデータが保存される場所が決まります。これにより、リソースの作成後に変更できないため、許可リストに登録された任意のデータの場所が確保されます。 | Audit、Deny、Disabled | 1.0.0 |
Compute
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
許可されている仮想マシン サイズ SKU | このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 | 拒否 | 1.0.1 |
ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
Azure Site Recovery を使用してレプリケーションを有効にし、仮想マシンでのディザスター リカバリーを構成する | ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含める/除外することができます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | DeployIfNotExists、Disabled | 2.1.0 |
プライベート DNS ゾーンを使用するように、ディスク アクセス リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、マネージド ディスクに解決されます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用してディスク アクセス リソースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをディスク アクセス リソースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する | マネージド ディスク リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Modify、Disabled | 2.0.0 |
Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ | このポリシーでは、VM にマルウェア対策の拡張機能が構成されていない場合に、既定の構成で Microsoft IaaSAntimalware 拡張機能をデプロイします。 | deployIfNotExists | 1.1.0 |
ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Audit、Disabled | 2.0.0 |
マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 2.0.0 |
Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 3.0.0 |
ディスクまたはスナップショットにエクスポートまたはアップロードするときに、認証要件を使用してデータを保護します。 | エクスポート/アップロード URL を使用すると、ユーザーが Azure Active Directory に ID を持ち、データをエクスポート/アップロードするために必要なアクセス許可を持っているかどうかを確認します。 aka.ms/DisksAzureADAuth を参照してください。 | Modify、Disabled | 1.0.0 |
Virtual Machine Scale Sets で自動 OS イメージ パッチ適用が必要 | このポリシーは、Virtual Machine Scale Sets での自動 OS イメージ パッチ適用を有効にし、最新のセキュリティ修正プログラムを毎月安全に適用することによって、常に Virtual Machines を保護します。 | deny | 1.0.0 |
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
コンテナー アプリ
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Container Apps で認証を有効にする必要がある | Container Apps 認証は、匿名の HTTP 要求が Container App に到達するのを防いだり、トークンがあるものを Container App への到達前に認証したりできる機能です | AuditIfNotExists、Disabled | 1.0.1 |
Container App 環境ではネットワーク インジェクションを使用する必要がある | Container Apps 環境では、以下のために仮想ネットワーク インジェクションを使用する必要があります。1. Container Apps をパブリック インターネットから分離する。2. オンプレミスまたは他の Azure 仮想ネットワークにあるリソースとのネットワーク統合を有効にする。3. 環境との間で流れるネットワーク トラフィックをより細かく制御できるようにする。 | Audit, Disabled, Deny | 1.0.2 |
Container App はボリューム マウントを使用して構成する必要がある | 永続的なストレージ容量を確実に利用できるように、Container Apps に対してボリューム マウントの使用を強制します。 | Audit、Deny、Disabled | 1.0.1 |
Container Apps 環境ではパブリック ネットワーク アクセスを無効にする必要がある | 内部ロード バランサーを介して Container Apps 環境を公開することにより、公衆ネットワーク アクセスを無効にしてセキュリティを向上させます。 これにより、パブリック IP アドレスが不要になり、環境内のすべての Container Apps へのインターネット アクセスが遮断されます。 | Audit、Deny、Disabled | 1.1.0 |
Container Apps では外部ネットワーク アクセスを無効にする必要がある | 内部専用イングレスを強制することによって、Container Apps への外部ネットワーク アクセスを無効にします。 これにより、Container Apps の受信通信は、Container Apps 環境内の呼び出し元に限定されます。 | Audit、Deny、Disabled | 1.0.1 |
コンテナー アプリには HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 "allowInsecure" を無効にすると、Container Apps で要求が HTTP 接続から HTTPS 接続に自動的にリダイレクトされます。 | Audit、Deny、Disabled | 1.0.1 |
コンテナー アプリに対してマネージド ID を有効にする必要がある | マネージド ID を適用すると、Container Apps では、Azure AD 認証をサポートするすべてのリソースに対して安全に認証できるようになります | Audit、Deny、Disabled | 1.0.1 |
コンテナー インスタンス
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Container Instance コンテナー グループを仮想ネットワークにデプロイする必要がある | Azure 仮想ネットワークを使用して、コンテナー間の通信をセキュリティで保護します。 仮想ネットワークを指定すると、仮想ネットワーク内のリソースが相互に安全かつプライベートに通信できるようになります。 | Audit, Disabled, Deny | 2.0.0 |
Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit, Disabled, Deny | 1.0.0 |
コンテナー グループの診断設定を Log Analytics ワークスペースに構成する | コンテナー インスタンスに診断設定をデプロイし、この診断設定のないコンテナー インスタンスが作成または更新された場合に、Log Analytics ワークスペースにリソース ログをストリームします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Container Instances
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コンテナー グループの診断を Log Analytics ワークスペースに構成する | 指定された Log Analytics workspaceId および workspaceKey のフィールドがないコンテナー グループが作成または更新された場合に、これらを追加します。 このポリシーが適用される前に作成されたコンテナー グループのフィールドは、それらのリソース グループが変更されるまで変更されません。 | 追加、無効化 | 1.0.0 |
Container Registry
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コンテナー レジストリを構成して、匿名認証を無効にする | 認証されていないユーザーがデータにアクセスできないように、レジストリに対する匿名プルを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.0 |
ARM 対象ユーザー トークン認証が無効になるようコンテナー レジストリを構成する。 | レジストリへの認証のために Azure Active Directory ARM 対象ユーザー トークンを無効にします。 認証には、Azure Container Registry (ACR) の対象ユーザー トークンのみが使用されます。 これにより、レジストリで使用するためのトークンのみを認証に使用できるようになります。 ARM 対象ユーザー トークンを無効にしても、管理者ユーザーまたはスコープ付きアクセス トークンの認証には影響しません。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.0 |
コンテナー レジストリを構成して、ローカルの管理者アカウントを無効にする | レジストリの管理者アカウントを無効にして、ローカル管理者がアクセスできないようにします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.1 |
パブリック ネットワーク アクセスが無効になるようにコンテナー レジストリを構成する | Container Registry リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link。 | Modify、Disabled | 1.0.0 |
リポジトリ スコープのアクセス トークンを無効にするようにコンテナー レジストリを構成する | トークンを使用してリポジトリにアクセスできないように、レジストリのリポジトリ スコープのアクセス トークンを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するようにコンテナー レジストリを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Container Registry を解決するために、仮想ネットワークにリンクします。 詳細情報: https://aka.ms/privatednszone および https://aka.ms/acr/private-link。 | DeployIfNotExists、Disabled | 1.0.1 |
プライベート エンドポイントを使用してコンテナー レジストリを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Premium Container Registry リソースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細情報: https://aka.ms/privateendpoints および https://aka.ms/acr/private-link。 | DeployIfNotExists、Disabled | 1.0.0 |
コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
コンテナー レジストリでは、匿名認証が無効になっている必要がある | 認証されていないユーザーがデータにアクセスできないように、レジストリに対する匿名プルを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
コンテナー レジストリでは、ARM 対象ユーザー トークン認証を無効にする必要がある。 | レジストリへの認証のために Azure Active Directory ARM 対象ユーザー トークンを無効にします。 認証には、Azure Container Registry (ACR) の対象ユーザー トークンのみが使用されます。 これにより、レジストリで使用するためのトークンのみを認証に使用できるようになります。 ARM 対象ユーザー トークンを無効にしても、管理者ユーザーまたはスコープ付きアクセス トークンの認証には影響しません。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
コンテナー レジストリではエクスポートを無効にする必要があります | エクスポートを無効にすると、データプレーン (' docker pull ') を介してのみレジストリ内のデータにアクセスできるようになるため、セキュリティが強化されます。 'acr import' または ' acr transfer ' を使用して、レジストリからデータを移動することはできません。 エクスポートを無効にするには、公衆ネットワーク アクセスを無効にする必要があります。 詳細については、https://aka.ms/acr/export-policy を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
コンテナー レジストリでは、ローカル管理者アカウントが無効になっている必要がある | レジストリの管理者アカウントを無効にして、ローカル管理者がアクセスできないようにします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
コンテナー レジストリでは、リポジトリ スコープのアクセス トークンが無効になっている必要がある | トークンを使用してリポジトリにアクセスできないように、レジストリのリポジトリ スコープのアクセス トークンを無効にします。 管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリでは認証のために Azure Active Directory ID だけが確実に要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
コンテナー レジストリにはプライベート リンクをサポートする SKU が必要である | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなくコンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
コンテナー レジストリでキャッシュ ルールの作成を禁止する必要がある | Azure コンテナー レジストリのキャッシュ ルールの作成を無効にして、キャッシュ プルを介したプルを防ぎます。 詳細については、https://aka.ms/acr/cache を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
コンテナー レジストリに対してパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットにコンテナー レジストリが露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、コンテナー レジストリ リソースの公開を制限することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link。 | Audit、Deny、Disabled | 1.0.0 |
Cosmos DB
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
Azure Cosmos DB アカウントでは、すべての Azure データ センターからのトラフィックを許可しないでください | Azure データ センターからのすべてのトラフィックを許可する IP ファイアウォール規則 '0.0.0.0' を禁止してください。 詳細については、https://aka.ms/cosmosdb-firewall を参照してください | Audit、Deny、Disabled | 1.0.0 |
Azure Cosmos DB アカウントは、最後のアカウント キーの再生成以降に許可される最大日数を超えることはできません。 | データの保護を強化するには、指定された時間内にキーを再生成してください。 | Audit、Disabled | 1.0.0 |
Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Cosmos DB が許可されている場所 | このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | [parameters('policyEffect')] | 1.1.0 |
Azure Cosmos DB キー ベースのメタデータ書き込みアクセスを無効にする必要がある | このポリシーを使用すると、すべての Azure Cosmos DB アカウントでキー ベースのメタデータ書き込みアクセスを無効にすることができます。 | append | 1.0.0 |
Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Cosmos DB のスループットを制限する必要がある | このポリシーを使用すると、Azure Cosmos DB データベースとコンテナーをリソースプロバイダーを介して作成するときに、組織で指定できる最大スループットを制限できます。 自動スケーリング リソースの作成をブロックします。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
ローカル認証を無効にするように Cosmos DB データベース アカウントを構成する | ローカル認証方法を無効にして、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Modify、Disabled | 1.1.0 |
公衆ネットワーク アクセスを無効にするように CosmosDB アカウントを構成する | CosmosDB リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Modify、Disabled | 1.0.1 |
プライベート DNS ゾーンを使用するように CosmosDB アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、CosmosDB アカウントを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
プライベート エンドポイントを使用して CosmosDB アカウントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを CosmosDB アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
Cosmos DB アカウントの Advanced Threat Protection のデプロイ | このポリシーを使用して、Cosmos DB アカウント全体で Advanced Threat Protection を有効にすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
カスタム プロバイダー
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
カスタム プロバイダーの関連付けのデプロイ | 選択したリソースの種類を指定したカスタム プロバイダーに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 | deployIfNotExists | 1.0.0 |
Data Box
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある | デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Box ジョブは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要がある | Azure Data Box に使用するデバイスのロック解除パスワードの暗号化は、カスタマー マネージド キーを使用して管理してください。 また、デバイスの準備とデータのコピーを自動化する目的で、デバイスのロック解除パスワードに対する Data Box サービスのアクセスを管理する際にも、カスタマー マネージド キーが役立ちます。 デバイス上の保存データ自体は、あらかじめ Advanced Encryption Standard 256 ビット暗号化を使用して暗号化されており、また、デバイスのロック解除パスワードも既定で Microsoft マネージド キーを使用して暗号化されています。 | Audit、Deny、Disabled | 1.0.0 |
Data Factory
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Data Factory パイプラインは許可されたドメインとのみ通信する必要がある | データとトークンの流出を防ぐために、Azure Data Factory に通信を許可するドメインを設定します。 注: パブリック プレビュー段階では、このポリシーについてのコンプライアンスは報告されません。ポリシーを Data Factory に適用するには、ADF Studio でアウトバウンド規則の機能を有効にしてください。 詳細については、https://aka.ms/data-exfiltration-policy を参照してください。 | Deny、Disabled | 1.0.0-preview |
Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Data Factory 統合ランタイムのコア数を制限する必要がある | リソースとコストを管理するために、統合ランタイムのコア数を制限します。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Factory のリンク サービス リソースの種類が許可リストに含まれている必要がある | Azure Data Factory のリンク サービスの種類の許可リストを定義します。 許可されるリソースの種類を制限することで、データ移動の境界を制御できます。 たとえば、分析用に Data Lake Storage Gen1 および Gen2 を使用する Blob Storage のみを許可するようにスコープを制限したり、リアルタイム クエリのために SQL および Kusto アクセスのみを許可するようにスコープを制限したりします。 | Audit、Deny、Disabled | 1.1.0 |
Azure Data Factory のリンク サービスでは、Key Vault を使用してシークレットを保存する必要がある | シークレット (接続文字列など) を安全に管理できるようにするには、リンク サービスでシークレットをインラインで指定するのではなく、Azure Key Vault を使用してシークレットを提供するようにユーザーに要求します。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Factory のリンク サービスでは、システム割り当てマネージド ID 認証を使用する必要がある (サポートされている場合) | リンク サービスを介してデータ ストアと通信するときに、システム割り当てマネージド ID を使用すると、パスワードや接続文字列などの安全性の低い資格情報の使用を回避できます。 | Audit、Deny、Disabled | 2.1.0 |
Azure Data Factory では、ソース管理に Git リポジトリを使用する必要がある | Git 統合で開発データ ファクトリのみを構成します。 テスト環境と運用環境に対する変更は CI/CD を介してデプロイする必要があり、Git 統合を行うべきではありません。 このポリシーを QA、テスト、運用データ ファクトリに適用しないでください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
パブリック ネットワーク アクセスを無効にするようにデータ ファクトリを構成する | データ ファクトリのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | Modify、Disabled | 1.0.0 |
Azure Data Factory に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する | プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Data Factory へのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Data Factory でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
データ ファクトリのプライベート エンドポイントを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
Azure Data Factory のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Factory へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 | Audit、Deny、Disabled | 1.0.0 |
Azure Data Factory 上の SQL Server Integration Services 統合ランタイムでは仮想ネットワークに参加する必要がある | Azure Virtual Network のデプロイでは、Azure Data Factory 上の SQL Server Integration Services 統合ランタイムのための強化されたセキュリティと分離、サブネット、アクセス制御ポリシーなど、アクセスをさらに制限するための機能を提供します。 | Audit、Deny、Disabled | 2.3.0 |
Data Lake
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Data Lake Store アカウントにおける暗号化が必要 | このポリシーは、すべての Data Lake Store アカウントで暗号化を有効にします | deny | 1.0.0 |
Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
デスクトップ仮想化
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Virtual Desktop ホストプールでは公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Azure Virtual Desktop サービスへのアクセスがパブリック インターネットに公開されなくなるため、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Virtual Desktop ホストプールでは、セッション ホストでのみ公衆ネットワーク アクセスを無効にする必要がある | Azure Virtual Desktop ホストプールのセッション ホストの公衆ネットワーク アクセスを無効にし、エンド ユーザーのパブリック アクセスは許可すると、パブリック インターネットへの公開が制限されるため、セキュリティが向上します。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Virtual Desktop サービスではプライベート リンクを使用する必要がある | Azure Virtual Desktop リソースで Azure Private Link を使用すると、セキュリティが向上し、データを安全に保つことができます。 プライベート リンクの詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Virtual Desktop ワークスペースでは公衆ネットワーク アクセスを無効にする必要がある | Azure Virtual Desktop ワークスペース リソースの公衆ネットワーク アクセスを無効にして、フィードにパブリック インターネット経由でアクセスできないようにします。 プライベート ネットワーク アクセスのみを許可することで、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するよう Azure Virtual Desktop ホストプール リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークにリンクして、Azure Virtual Desktop リソースに解決します。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
公衆ネットワーク アクセスを無効にするように Azure Virtual Desktop ホストプールを構成する | Azure Virtual Desktop ホストプール リソースのセッション ホストとエンド ユーザーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Modify、Disabled | 1.0.0 |
セッション ホストのみの公衆ネットワーク アクセスを無効にするように Azure Virtual Desktop ホストプールを構成する | Azure Virtual Desktop ホストプールのセッション ホストの公衆ネットワーク アクセスを無効にしますが、エンド ユーザーのパブリック アクセスは許可します。 これにより、ユーザーは引き続き AVD サービスにアクセスでき、セッション ホストはプライベート ルート経由でのみアクセスできます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Virtual Desktop ホストプールを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Virtual Desktop リソースにマッピングすることで、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するよう Azure Virtual Desktop ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークにリンクして、Azure Virtual Desktop リソースに解決します。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
パブリック ネットワーク アクセスを無効にするように Azure Virtual Desktop ワークスペースを構成する | Azure Virtual Desktop ワークスペース リソースのパブリック ネットワーク アクセスを無効にして、フィードにパブリック インターネット経由でアクセスできないようにします。 これにより、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Virtual Desktop ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Virtual Desktop リソースにマッピングすることで、セキュリティが向上し、データが安全に保たれます。 詳細については、https://aka.ms/avdprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
DevCenter
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Microsoft Dev Box プールでは、Microsoft Hosted Network を使用しないでください。 | プール リソースを作成するときに、Microsoft Hosted Network の使用を禁止します。 | Audit、Deny、Disabled | 1.0.0-preview |
DevOpsInfrastructure
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: 独自の仮想ネットワークで構成するには、有効なサブネット リソースを Microsoft Managed DevOps プールに指定する必要があります。 | 有効なサブネット リソースが指定されていない場合、プール リソースの作成が許可されません。 | Audit、Deny、Disabled | 1.0.0-preview |
ElasticSan
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ElasticSan ではパブリック ネットワーク アクセスを無効にする必要がある | ElasticSan の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 | Audit、Deny、Disabled | 1.0.0 |
ElasticSan ボリューム グループでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、VolumeGroup の残りの部分の暗号化を管理します。 既定では、顧客データはプラットフォーム マネージド キーで暗号化されますが、規制コンプライアンス標準を満たすには、一般的に CMK が必要です。 カスタマー マネージド キーを使用すると、自分が作成および所有し、交換や管理を含め、完全に制御し責任を負う Azure Key Vault キーでデータを暗号化できます。 | Audit、Disabled | 1.0.0 |
ElasticSan ボリューム グループではプライベート エンドポイントを使用する必要がある | プライベート エンドポイントを使用すると、管理者は、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをボリューム グループにマッピングすることで、管理者はデータ漏えいのリスクを軽減できます。 | Audit、Disabled | 1.0.0 |
Event Grid
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Event Grid ドメインでは公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Event Grid ドメインでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Grid ドメインの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
Azure Event Grid 名前空間 MQTT ブローカーでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid 名前空間にプライベート エンドポイントをマッピングすると、データ漏えいのリスクを防止できます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Event Grid 名前空間トピック ブローカーでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid 名前空間にプライベート エンドポイントをマッピングすると、データ漏えいのリスクを防止できます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Event Grid 名前空間で、公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Grid パートナー名前空間の認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Event Grid トピックでは、公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Event Grid トピックでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Grid トピックの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | |
ローカル認証を無効にするように Azure Event Grid ドメインを構成する | ローカル認証方法を無効にして、Azure Event Grid ドメインの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Event Grid 名前空間 MQTT ブローカーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Event Grid 名前空間を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/aeg-ns-privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
ローカル認証を無効にするように Azure Event Grid パートナー名前空間を構成する | ローカル認証方法を無効にして、Azure Event Grid パートナー名前空間の認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
ローカル認証を無効にするように Azure Event Grid トピックを構成する | ローカル認証方法を無効にして、Azure Event Grid トピックの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid ドメインを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
デプロイ - プライベート エンドポイントを使用して Azure Event Grid ドメインを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid トピックを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
デプロイ - プライベート エンドポイントを使用して Azure Event Grid トピックを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid ドメインを構成する | Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid トピックを構成する | Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Modify、Disabled | 1.0.0 |
イベント ハブ
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
イベント ハブの名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある | イベント ハブ クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります | Audit、Deny、Disabled | 1.0.1 |
イベント ハブ インスタンスの承認規則を定義する必要があります | 最小特権のアクセスを付与する承認規則がイベント ハブ エンティティに存在することを監査します | AuditIfNotExists、Disabled | 1.0.0 |
Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure Event Hub 名前空間の認証で Microsoft Entra ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/disablelocalauth-eh を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
ローカル認証を無効にするように Azure イベント ハブ名前空間を構成する | ローカル認証方法を無効にして、Azure Event Hub 名前空間の認証で Microsoft Entra ID のみが要求されるようにします。 詳細については、https://aka.ms/disablelocalauth-eh を参照してください。 | Modify、Disabled | 1.0.1 |
プライベート DNS ゾーンを使用するようにイベント ハブ名前空間を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、イベント ハブ名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用してイベント ハブ名前空間を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
イベント ハブ名前空間ではパブリック ネットワーク アクセスを無効にする必要があります | Azure イベント ハブでは、パブリック ネットワーク アクセスが無効になっている必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください | Audit、Deny、Disabled | 1.0.0 |
Event Hub の名前空間では二重暗号化を有効にする必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Fluid Relay
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Fluid Relay では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Fluid Relay サーバーの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 カスタマー マネージド キーを使用すると、自分が作成および所有し、交換や管理を含め、完全に制御し責任を負う Azure Key Vault キーでデータを暗号化できます。 詳細については、https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys をご覧ください。 | Audit、Disabled | 1.0.0 |
全般
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
許可される場所 | このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 | deny | 1.0.0 |
リソース グループが許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | deny | 1.0.0 |
許可されるリソースの種類 | このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 | deny | 1.0.0 |
リソースの場所がリソース グループの場所と一致することの監査 | リソースの場所がそのリソース グループの場所と一致することを監査します | 監査 | 2.0.0 |
カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
サブスクリプションを構成してプレビュー機能を設定する | このポリシーは、既存のサブスクリプションのプレビュー機能を評価します。 サブスクリプションを修復して、新しいプレビュー機能に登録できます。 新しいサブスクリプションが自動的に登録されることはありません。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
リソースの種類の削除を許可しない | このポリシーを使用すると、組織が deny アクションの効果を利用して delete 呼び出しをブロックすることで誤削除を防止するリソースの種類を指定できます。 | DenyAction、Disabled | 1.0.1 |
M365 リソースを許可しない | M365 リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
MCPP リソースを許可しない | MCPP リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
使用コストのリソースを除外する | このポリシーを使用すると、使用量コストリソースを除外できます。 使用コストには、使用状況に基づいて課金される従量制課金ストレージや Azure リソースなどが含まれます。 | Audit、Deny、Disabled | 1.0.0 |
許可されないリソースの種類 | 環境にデプロイできるリソースの種類を制限します。 リソースの種類を制限することで、環境の複雑さと攻撃対象領域を削減しつつ、コストの管理にも役立てるとができます。 コンプライアンス対応の結果は、準拠していないリソースについてのみ表示されます。 | Audit、Deny、Disabled | 2.0.0 |
ゲスト構成
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: 仮想マシンでゲスト構成の割り当てを有効にするためにユーザー割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている仮想マシンに、ユーザー割り当てマネージド ID が追加されます。 ユーザー割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
[プレビュー]: ローカル ユーザーを無効にするように Windows Server を構成する。 | Windows Server でローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 このポリシーにより、AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Windows Server に確実にアクセスできるようになるため、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: 拡張セキュリティ更新プログラムを Windows Server 2012 Arc マシンにインストールする必要がある。 | Windows Server 2012 Arc マシンには、Microsoft によってリリースされたすべての拡張セキュリティ更新プログラムがインストールされている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Linux マシンは Docker ホスト向けの Azure セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホスト向けの Azure セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていません。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: OMI がインストールされている Linux マシンには、バージョン 1.6.8-1 以降が必要である | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: Nexus コンピューティング マシンはセキュリティ ベースラインを満たす必要がある | 監査に Azure Policy ゲスト構成エージェントを利用します。 このポリシーにより、マシンは Nexus コンピューティング セキュリティ ベースラインに確実に準拠でき、さまざまな脆弱性や安全でない構成に対してマシンを強化するように設計されたさまざまな推奨事項が含まれます (Linux のみ)。 | AuditIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: Windows マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについてマシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定されたアプリケーションがインストールされていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定されたアプリケーションがインストールされている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
Linux の SSH セキュリティ態勢の監査 (powered by OSConfig) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) 上の SSH サーバー セキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
Windows マシンのネットワーク接続を監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
DSC 構成が準拠していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus から、マシンの DSC 構成が準拠していないという情報が返された場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたサービスがインストールされて '実行中' になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-Service の結果に、ポリシー パラメーターの指定と一致する状態のサービス名が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
Windows Serial Console が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
指定されたドメインに参加していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたタイム ゾーンに設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
指定された Windows PowerShell 実行ポリシーのない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy によって、ポリシー パラメーターで選択された値以外の値が返された場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
指定された Windows PowerShell モジュールがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
指定されたアプリケーションがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のどのレジストリ パスにも見つからない場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
Administrators グループに余分なアカウントがある Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定した日数以内に再起動されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたアプリケーションがインストールされている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のいずれかのレジストリ パスに見つかった場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
再起動が保留中の Windows VM の監査 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
ローカル ユーザーを無効にするように Linux サーバーを構成する。 | Linux サーバーでローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 これにより、このポリシーでは AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Linux サーバーにアクセスできるようになり、全体的なセキュリティ態勢が向上します。 | DeployIfNotExists、Disabled | 1.3.0-preview |
Windows マシンにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する | Windows マシンにセキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当てを作成します。 | DeployIfNotExists、Disabled | 1.0.1 |
Linux の SSH セキュリティ態勢を設定 (powered by OSConfig) | このポリシーでは、Linux マシン (Azure VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を監査および構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
Windows マシンでタイム ゾーンを構成する。 | このポリシーは、指定されたタイム ゾーンを Windows 仮想マシンに設定するためのゲスト構成の割り当てを作成します。 | deployIfNotExists | 2.1.0 |
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.1 |
Linux マシンでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Linux サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.2.0-preview |
Windows サーバーでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Windows サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
ゲスト構成の割り当てのプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、仮想マシンのゲスト構成へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 "EnablePrivateNetworkGC" タグが割り当てられていない仮想マシンはコンプライアンス違反となります。 このタグにより、仮想マシンのゲスト構成に対して、プライベート接続によるセキュリティで保護された通信が適用されます。 プライベート接続では、既知のネットワークを送信元とするトラフィックにアクセスが限定され、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスが禁止されます。 | Audit、Deny、Disabled | 1.1.0 |
マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある | 新たに現れるマルウェアから適切に保護するには、新たに現れたマルウェアを考慮するために、Windows Defender 保護署名を定期的に更新する必要があります。 このポリシーは Arc 接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある | 新たに現れるマルウェアから適切に保護するために、Windows マシンで Windows Defender のリアルタイム保護を有効にする必要があります。 このポリシーは Arc 接続されているサーバーには適用できず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンは [管理用テンプレート - コントロール パネル] の要件を満たしている必要がある | Windows マシンには、入力の個人用設定とロック画面の有効化防止について、カテゴリ [管理用テンプレート - コントロール パネル] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - MSS (レガシ)] の要件を満たしている必要がある | Windows マシンには、自動ログオン、スクリーン セーバー、ネットワークの動作、安全な DLL、イベント ログについて、カテゴリ [管理用テンプレート - MSS (レガシ)] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - ネットワーク] の要件を満たしている必要がある | Windows マシンには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決について、カテゴリ [管理用テンプレート - ネットワーク] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - システム] の要件を満たしている必要がある | Windows マシンには、管理エクスペリエンスおよび Remote Assist を制御する設定について、カテゴリ [管理用テンプレート - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | Windows コンピューターでは、空白のパスワードとゲスト アカウント状態でのローカル アカウントの使用を制限するため、[セキュリティ オプション - アカウント] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | Windows マシンには、セキュリティ監査をログに記録できない場合に監査ポリシー サブカテゴリを強制的に適用してシャットダウンすることについて、カテゴリ [セキュリティ オプション - 監査] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - デバイス] の要件を満たしている必要がある | Windows マシンには、ログオンなしのドッキング解除、プリント ドライバーのインストール、メディアのフォーマットと取り出しについて、カテゴリ [セキュリティ オプション - デバイス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク クライアント] の要件を満たしている必要がある | Windows コンピューターには、Microsoft ネットワーク クライアントおよび SMB v1 について、カテゴリ [セキュリティ オプション - Microsoft ネットワーク クライアント] で設定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | Windows コンピューターでは、SMB v1 サーバーを無効にするため、[セキュリティ オプション - Microsoft ネットワーク サーバー] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | Windows マシンには、匿名ユーザーやローカル アカウントへのアクセスと、レジストリへのリモート アクセスを含むことについて、カテゴリ [セキュリティ オプション - ネットワーク アクセス] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | すべてのドライブおよびフォルダーのフロッピー コピーとアクセスを可能にするため、[セキュリティ オプション - 回復コンソール] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - シャットダウン] の要件を満たしている必要がある | Windows マシンには、ログオンなしのシャットダウンと仮想マシン ページファイルのクリアについて、カテゴリ [セキュリティ オプション - シャットダウン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - システム オブジェクト] の要件を満たしている必要がある | Windows マシンには、Windows システムではないサブシステムのための大文字と小文字の区別をしないこと、および内部システム オブジェクトのアクセス許可について、カテゴリ [セキュリティ オプション - システム オブジェクト] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - システム設定] の要件を満たしている必要がある | Windows マシンには、SRP およびオプションのサブシステム用の実行可能ファイルに関する証明書の規則について、カテゴリ [セキュリティ オプション - システム設定] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | Windows マシンには、管理者用のモード、昇格時のプロンプトの動作、ファイル仮想化とレジストリ書き込みのエラーについて、カテゴリ [セキュリティ オプション - ユーザー アカウント制御] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | Windows マシンには、パスワードの履歴、有効期間、長さ、複雑さ、暗号化を元に戻せる状態での保存について、カテゴリ [セキュリティ オプション - アカウント ポリシー] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - アカウント ログオン] の要件を満たしている必要がある | Windows マシンには、資格情報の検証およびその他のアカウント ログオン イベントの監査について、カテゴリ [システム監査ポリシー - アカウント ログオン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | Windows マシンには、アプリケーション、セキュリティ、ユーザー グループ管理、その他の管理イベントを監査することについて、カテゴリ [システム監査ポリシー - アカウント管理] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | Windows マシンには、DPAPI、プロセスの作成と終了、RPC イベント、PNP アクティビティを監査することについて、カテゴリ [システム監査ポリシー - 詳細追跡] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - ログオン/ログオフ] の要件を満たしている必要がある | Windows マシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオンとログオンのイベントの監査について、カテゴリ [システム監査ポリシー - ログオン/ログオフ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - オブジェクト アクセス] の要件を満たしている必要がある | Windows マシンには、ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、その他の種類のシステムに関する監査について、カテゴリ [システム監査ポリシー - オブジェクト アクセス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | Windows マシンには、システム監査ポリシーの監査について、カテゴリ [システム監査ポリシー - ポリシーの変更] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | Windows マシンには、重要でない特権およびその他の特権の使用に関する監査について、カテゴリ [システム監査ポリシー - 特権の使用] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - システム] の要件を満たしている必要がある | Windows マシンには、IPsec ドライバー、システムの整合性、システム拡張、状態変更、その他のシステム イベントの監査について、カテゴリ [システム監査ポリシー - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | ローカル ログオン、RDP、ネットワークからのアクセス、その他多くのユーザー アクティビティを許可するため、Windows マシンでは、[ユーザー権利の割り当て] カテゴリに指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [Windows コンポーネント] の要件を満たしている必要がある | Windows マシンには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、Windows のその他の動作について、カテゴリ [Windows コンポーネント] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 および 2012 R2 ではサポートされていません。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.1.1 |
HDInsight
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure HDInsight クラスターを仮想ネットワークに挿入する必要がある | Azure HDInsight クラスターを仮想ネットワークに挿入すると、HDInsight の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成を制御できます。 | Audit, Disabled, Deny | 1.0.0 |
Azure HDInsight クラスターでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、Azure HDInsight クラスターの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/hdi.cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある | ホストでの暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 | Audit、Deny、Disabled | 1.0.0 |
Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある | Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 | Audit、Deny、Disabled | 1.0.0 |
Azure HDInsight ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/hdi.pl を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure HDInsight クラスターを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure HDInsight クラスターに解決されます。 詳細については、https://aka.ms/hdi.pl を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを指定して Azure HDInsight クラスターを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/hdi.pl を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Health Bot
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Health Bot では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | Health Bot のデータの保存時の暗号化を管理するには、カスタマー マネージド キー (CMK) を使用します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://docs.microsoft.com/azure/health-bot/cmk を参照してください | Audit、Disabled | 1.0.0 |
Health Data Services のワークスペース
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Health Data Services ワークスペースではプライベート リンクを使用する必要がある | Health Data Services ワークスペースには、承認済みプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/healthcareapisprivatelink を参照してください。 | Audit、Disabled | 1.0.0 |
医療情報の匿名化サービス
Name (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Health Data Services の匿名化サービスでは、公衆ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 | Audit、Disabled | 1.0.0 |
Azure Health Data Services の匿名化サービスでは、プライベート リンクを使用する必要があります | Azure Health Data Services の匿名化サービスには、承認済みのプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 | Audit、Disabled | 1.0.0 |
Healthcare API
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
CORS で FHIR Service へのアクセスをすべてのドメインには許可しない | クロス オリジン リソース共有 (CORS) で FHIR Service へのアクセスをすべてのドメインに許可することは避けます。 FHIR Service を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 | audit、Audit、disabled、Disabled | 1.1.0 |
DICOM サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Health Data Services DICOM サービスに格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | Audit、Disabled | 1.0.0 |
FHIR サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、Azure Health Data Services FHIR サービスに格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | Audit、Disabled | 1.0.0 |
モノのインターネット (IoT)
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure IoT Hub での保存データの暗号化には、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して IoT Hub の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 カスタマー マネージド キーは、IoT Hub の作成時に構成する必要があります。 カスタマー マネージド キーを構成する方法の詳細については、https://aka.ms/iotcmk を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: IoT Hub デバイス プロビジョニング サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある | カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
Azure Device Update アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して Azure Device Update の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 詳細については、https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption を参照してください | Audit、Deny、Disabled | 1.0.0 |
Azure Device Update for IoT Hub アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Device Update for IoT Hub アカウントにマッピングすることにより、データ漏えいのリスクが軽減されます。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure IoT Hub では、サービス API に対してローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Azure IoT Hub のサービス API 認証で Azure Active Directory ID のみを要求することによりセキュリティが向上します。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
公衆ネットワーク アクセスを無効にするように Azure Device Update for IoT Hub アカウントを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、Device Update for IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、Device Update for IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure Device Update for IoT Hub アカウントを構成する | Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより、Device Update for IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Device Update for IoT Hub アカウントを構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーにより、Device Update for IoT Hub 用にプライベート エンドポイントがデプロイされ、Device Update for IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスがこのリソースに到達できるようになります。 | DeployIfNotExists、Disabled | 1.1.0 |
ローカル認証を無効にするように Azure IoT Hub を構成する | ローカル認証方法を無効にして、Azure IoT Hub の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように IoT Hub デバイス プロビジョニング インスタンスを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、IoT Hub デバイス プロビジョニング サービス インスタンスを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
パブリック ネットワーク アクセスを無効にするように IoT Hub Device Provisioning Service インスタンスを構成する | IoT Hub デバイス プロビジョニング インスタンスの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート エンドポイントを使用して IoT Hub Device Provisioning Service インスタンスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクを減らすことができます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
デプロイ - プライベート DNS ゾーンを使用するように Azure IoT ハブを構成する | Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
デプロイ - プライベート エンドポイントを持つ Azure IoT ハブを構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT ハブ用にプライベート エンドポイントがデプロイされ、IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Hub に到達できるようにすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
デプロイ - プライベート DNS ゾーンを使用するように IoT Central を構成する | Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Central プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | DeployIfNotExists、Disabled | 1.0.0 |
デプロイ - プライベート エンドポイントを持つ IoT Central を構成する | プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT Central 用にプライベート エンドポイントがデプロイされ、IoT Central のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Central に到達できるようにすることができます。 | DeployIfNotExists、Disabled | 1.0.0 |
IoT Central ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、IoT Central アプリケーションにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/iotcentral-network-security-using-pe を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
IoT Hub Device Provisioning Service インスタンスで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、IoT Hub Device Provisioning Service インスタンスがパブリック インターネット上で公開されないようにすることで、セキュリティが強化されます。 プライベート エンドポイントを作成すると、IoT Hub デバイス プロビジョニング インスタンスの露出を制限できます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
変更 - 公衆ネットワーク アクセスを無効にするように Azure IoT ハブを構成する | 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
変更 - パブリック ネットワーク アクセスを無効にするように IoT Central を構成する | 公衆ネットワーク アクセス プロパティを無効にすると、IoT Central へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 | Modify、Disabled | 1.0.0 |
IoT Hub ではプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続では、IoT Hub へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | Audit、Disabled | 1.0.0 |
Azure Device Update for IoT Hub アカウントに対する公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure Device Update for IoT Hub アカウントへのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
Azure IoT Hub の公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
IoT Central に対してパブリック ネットワーク アクセスを無効にする必要がある | IoT Central のセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/iotcentral-restrict-public-access の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0 |
IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
Key Vault
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Key Vault マネージド HSM キー コンテナーのキーには有効期限を設定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.1-preview |
[プレビュー]: Azure Key Vault マネージド HSM キーの残りの日数は有効期限が切れるまでの指定された日数よりも長い必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1-preview |
[プレビュー]: 楕円曲線暗号を使用する Azure Key Vault マネージド HSM キーに曲線名を指定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 | Audit、Deny、Disabled | 1.0.1-preview |
[プレビュー]: RSA 暗号を使用する Azure Key Vault マネージド HSM キーにキーの最小サイズを指定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 | Audit、Deny、Disabled | 1.0.1-preview |
[プレビュー]: Azure Key Vault Managed HSM で公衆ネットワーク アクセスを無効にする必要がある | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Key Vault Managed HSM はプライベート リンクを使用する必要がある | プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Key Vault Managed HSM を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください | Audit、Disabled | 1.0.0-preview |
[プレビュー]: 証明書は、指定の統合されていない証明機関のいずれかによって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Key Vault マネージド HSM を構成する | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 | Modify、Disabled | 2.0.0-preview |
[プレビュー]: プライベート エンドポイントを使用して Azure Key Vault マネージド HSM を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Key Vault Managed HSM にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
Azure Key Vault Managed HSM で消去保護が有効になっている必要がある | Azure Key Vault Managed HSM が悪意により削除されると、完全にデータが失われる可能性があります。 組織内の悪意のある内部関係者が、Azure Key Vault Managed HSM の削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除された Azure Key Vault Managed HSM に必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中に Azure Key Vault Managed HSM を消去することはできなくなります。 | Audit、Deny、Disabled | 1.0.0 |
Azure Key Vault should disable public network access (Azure Key Vault で公衆ネットワーク アクセスを無効にする必要がある) | キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/akvprivatelink を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
Azure Key Vault では RBAC アクセス許可モデルを使用する必要がある | Key Vault 間で RBAC アクセス許可モデルを有効にします。 詳細については、https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration を参照してください | Audit、Deny、Disabled | 1.0.1 |
Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
証明書は、指定の統合された証明機関によって発行される必要がある | Digicert または GlobalSign など、キー コンテナーで証明書を発行できる、Azure と統合された証明機関を指定して組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
証明書は、指定の統合されていない証明機関によって発行される必要がある | キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
証明書には、指定された有効期間アクション トリガーが必要である | 証明書の有効期間アクションを、有効期間の特定の割合でトリガーするか、有効期限から指定した日数前にトリガーするかを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
証明書は、指定された日数内に期限が切れてはいけない | 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
証明書は、許可されたキーの種類を使用する必要がある | 証明書に許可されるキーの種類を制限して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
楕円曲線暗号を使用する証明書には、許可されている曲線名が必要である | キー コンテナーに格納される ECC 証明書に対して許可されている楕円曲線名を管理します。 詳細については、https://aka.ms/akvpolicyをご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
RSA 暗号を使用する証明書に、キーの最小サイズを指定する必要がある | キー コンテナーに格納される RSA 証明書の最小キー サイズを指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
プライベート DNS ゾーンを使用するように Azure キー コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、キー コンテナーに解決されるようにします。 詳細については、https://aka.ms/akvprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
プライベート エンドポイントを使用して Azure Key Vault を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
ファイアウォールを有効にするようにキー コンテナーを構成する | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 その後、特定の IP 範囲を構成して、それらのネットワークにアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Modify、Disabled | 1.1.1 |
デプロイ - Azure Key Vault の診断設定を Log Analytics ワークスペースに構成する | リソース ログをストリーミングするための Azure Key Vault の診断設定を、この診断設定を持たないキー コンテナーが作成または更新されたときに、Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 2.0.1 |
デプロイ - Azure Key Vault Managed HSM で有効にする診断設定をイベント ハブに構成する | Azure Key Vault Managed HSM の診断設定をデプロイして、この診断設定がない Azure Key Vault Managed HSM が作成または更新されたときに地域のイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
Key Vault の診断設定をイベント ハブにデプロイする | この診断設定がないキー コンテナーが作成または更新されたときに、Key Vault の診断設定をデプロイして、リージョンのイベント ハブにストリーム配信します。 | DeployIfNotExists、Disabled | 3.0.1 |
Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある | HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 | Audit、Deny、Disabled | 1.0.1 |
キーは、特定の暗号化の種類 (RSA または EC) である必要がある | 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
キーには、作成後指定された日数以内にローテーションがスケジュールされることを保証するローテーション ポリシーが含まれている必要があります。 | キーの作成後にローテーションが必要になるまでの最大日数を指定して、組織のコンプライアンス要件を管理します。 | Audit、Disabled | 1.0.0 |
キーの有効期限には、指定された日数より先の日付を指定する必要がある | キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
キーには最長有効期間を指定する必要がある | キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
指定された日数より長くキーをアクティブにすることはできない | キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 | Audit、Deny、Disabled | 1.0.1 |
楕円曲線暗号を使用するキーに曲線名を指定する必要がある | 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
RSA 暗号を使用するキーにキーの最小サイズを指定する必要がある | キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 | Audit、Deny、Disabled | 1.0.1 |
Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある | セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 | AuditIfNotExists、Disabled | 1.1.0 |
Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
シークレットにはコンテンツの種類を設定する必要がある | コンテンツの種類のタグは、シークレットの種類 (パスワードや接続文字列など) を識別するのに役立ちます。シークレットが異なれば、ローテーションの要件も異なります。 コンテンツの種類のタグは、シークレットに設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
シークレットの有効期限は、指定された日数より先の日付を指定する必要がある | シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | Audit、Deny、Disabled | 1.0.1 |
シークレットには最長有効期間を指定する必要がある | キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | Audit、Deny、Disabled | 1.0.1 |
指定された日数より長くシークレットをアクティブにすることはできない | シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
Kubernetes
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: [イメージの整合性] Kubernetes クラスターでは、表記によって署名されたイメージのみを使用する必要があります | 表記によって署名されたイメージを使用して、イメージが信頼できるソースから取得されるものであり、悪意を持って変更されないようにします。 詳細については、https://aka.ms/aks/image-integrity を参照してください。 | Audit、Disabled | 1.1.0-preview |
[プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
[プレビュー]: 個々のノードは編集できない | 個々のノードは編集できません。 ユーザーは個々のノードを編集しないでください。 ノード プールを編集してください。 個々のノードを変更すると、設定の不整合、運用上の課題、潜在的なセキュリティ リスクにつながる可能性があります。 | Audit、Deny、Disabled | 1.3.0-preview |
[プレビュー]: Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | DeployIfNotExists、Disabled | 7.3.0-preview |
[プレビュー]: Azure Kubernetes Service にイメージの整合性をデプロイする | Image Integrity と Policy の両アドオンを Azure Kubernetes クラスターにデプロイしてください。 詳細については、https://aka.ms/aks/image-integrity を参照してください。 | DeployIfNotExists、Disabled | 1.0.5-preview |
[プレビュー]: Kubernetes クラスター コンテナー イメージに preStop フックを含める必要がある | ポッドのシャットダウン中にプロセスを正常に終了するには、コンテナー イメージに preStop フックが含まれている必要があります。 | Audit、Deny、Disabled | 1.1.0-preview |
[プレビュー]: Kubernetes クラスター コンテナー イメージに最新のイメージ タグを含めないようにする | コンテナー イメージで Kubernetes の最新のタグを使用しないようにする必要があります。これは、明示的なコンテナー イメージとバージョン管理されたコンテナー イメージを使用して、再現性を確保し、意図しない更新を防ぎ、デバッグとロールバックを容易にするためのベスト プラクティスです。 | Audit、Deny、Disabled | 1.1.0-preview |
[プレビュー]: イメージのプル シークレットが存在する場合にのみ Kubernetes クラスター コンテナーによってイメージがプルされる必要がある | コンテナーのイメージのプルを制限して ImagePullSecrets の存在を強制し、Kubernetes クラスター内のイメージへの安全で承認されたアクセスを確保します | Audit、Deny、Disabled | 1.2.0-preview |
[プレビュー]: Kubernetes クラスター サービスでは一意のセレクターを使用する必要がある | 名前空間内のサービスが一意のセレクターを持つようにします。 一意のサービス セレクターを使用すると、名前空間内の各サービスが特定の条件に基づいて一意に識別可能になります。 このポリシーは、Gatekeeper 経由でイングレス リソースを OPA に同期します。 適用する前に、Gatekeeper ポッドのメモリ容量を超えないことを確認します。 パラメーターは、特定の名前空間に適用されますが、すべての名前空間にわたって、その種類のすべてのリソースを同期します。 現在、Kubernetes Service (AKS) のプレビュー段階です。 | Audit、Deny、Disabled | 1.2.0-preview |
[プレビュー]: Kubernetes クラスターでは、正確なポッド中断バジェットが実装される必要がある | ポッド中断予算の障害を防ぎ、運用ポッドの最小数を確保します。 詳細については、Kubernetes の公式ドキュメントを参照してください。 Gatekeeper データ レプリケーションに依存し、それにスコープされているすべてのイングレス リソースを OPA に同期します。 このポリシーを適用する前に、同期されたイングレス リソースによってメモリ容量が圧迫されないようにします。 パラメーターは特定の名前空間を評価しますが、名前空間間でその種類のすべてのリソースが同期されます。注: 現在、Kubernetes Service (AKS) のプレビュー段階です。 | Audit、Deny、Disabled | 1.3.0-preview |
[プレビュー]: Kubernetes クラスターでは特定のリソースの種類の作成を制限する必要がある | 特定の Kubernetes リソースの種類を、特定の名前空間にデプロイしないようにします。 | Audit、Deny、Disabled | 2.3.0-preview |
[プレビュー]: アンチ アフィニティ ルール セットが必要 | このポリシーにより、クラスター内の異なるノードでポッドがスケジュールされます。 アンチアフィニティ ルールを適用することで、いずれかのノードが使用できなくなった場合でも可用性が維持されます。 ポッドは引き続き他のノードで実行され、回復性が向上します。 | Audit、Deny、Disabled | 1.2.0-preview |
[プレビュー]: K8s コンテナーを変更してすべての機能を削除 | securityContext.capabilities.drop を変更して "ALL" を追加します。 これにより、K8s Linux コンテナーのすべての機能が削除されます | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: K8s init コンテナーを変更してすべての機能を削除 | securityContext.capabilities.drop を変更して "ALL" を追加します。 これにより、K8s Linux init コンテナーのすべての機能が削除されます | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: AKS 特有のラベルがない | 顧客が AKS 固有のラベルを適用できないようにします。 AKS では、AKS 所有コンポーネントを示すために、kubernetes.azure.com がプレフィックスされたラベルが使用されます。 顧客はこれらのラベルを使用しないでください。 |
Audit、Deny、Disabled | 1.2.0-preview |
[プレビュー]: runAsNotRoot を true に設定することで、コンテナーがルートとして実行されることを防ぐ。 | runAsNotRoot を true に設定することで、コンテナーがルートとして実行されることが防がれセキュリティが強化されます。 | Mutate、Disabled | 1.0.0-preview |
[プレビュー]: runAsNotRoot を true に設定することで、init コンテナーがルートとして実行されることを防ぐ。 | runAsNotRoot を true に設定することで、コンテナーがルートとして実行されることが防がれセキュリティが強化されます。 | Mutate、Disabled | 1.0.0-preview |
[プレビュー]: 変更が適用された場合にメッセージを出力する | 適用された変更の注釈を検索し、注釈がある場合はメッセージを出力します。 | Audit、Disabled | 1.1.0-preview |
[プレビュー]: 予約済みのシステム プール テイント | CriticalAddonsOnly テイントをシステム プールのみに制限します。 AKS は CriticalAddonsOnly テイントを使用して、お客様のポッドをシステム プールから遠ざけます。 これにより、AKS コンポーネントと顧客ポッドが明確に分離され、CriticalAddonsOnly テイントを許容しない場合に顧客ポッドが削除されるのを防ぐことができます。 | Audit、Deny、Disabled | 1.2.0-preview |
[プレビュー]: CriticalAddonsOnly テイントをシステム プールのみに制限します。 | ユーザー プールからのユーザー アプリの削除を回避し、ユーザー プールとシステム プール間の懸念事項の分離を維持するには、"CriticalAddonsOnly" テイントをユーザー プールに適用しないようにします。 | Mutate、Disabled | 1.2.0-preview |
[プレビュー]: コンテナー内のポッド仕様の automountServiceAccountToken を false に設定します。 | automountServiceAccountToken を false に設定すると、サービス アカウント トークンの既定の自動マウントが回避され、セキュリティが向上します | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: Kubernetes クラスター コンテナーの securityContext.runAsUser フィールドを非ルート ユーザー ID の 1000 に設定する | セキュリティの脆弱性が存在する場合にルート ユーザーとして特権をエスカレーションすることによって、導入される攻撃面を減らします。 | Mutate、Disabled | 1.0.0-preview |
[プレビュー]: Kubernetes クラスター コンテナーの CPU 制限を既定値に設定します (存在しない場合)。 | Kubernetes クラスターでのリソース枯渇攻撃を防ぐためにコンテナーの CPU 制限を設定します。 | Mutate、Disabled | 1.2.0-preview |
[プレビュー]: Kubernetes クラスター コンテナーのメモリ制限を既定値に設定します (存在しない場合)。 | Kubernetes クラスターでのリソース枯渇攻撃を防ぐためにコンテナーのメモリ制限を設定します。 | Mutate、Disabled | 1.2.0-preview |
[プレビュー]: 存在しない場合、Kubernetes クラスター コンテナーの安全なコンピューティング モード プロファイルの種類を RuntimeDefault に設定します。 | コンテナーの安全なコンピューティング モード プロファイルの種類を設定して、ユーザー空間からカーネルに対する許可されていない、有害な可能性のあるシステム呼び出しを防ぎます。 | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: Kubernetes クラスター init コンテナー securityContext.runAsUser フィールドを非ルート ユーザー ID の 1000 に設定する | セキュリティの脆弱性が存在する場合にルート ユーザーとして特権をエスカレーションすることによって、導入される攻撃面を減らします。 | Mutate、Disabled | 1.0.0-preview |
[プレビュー]: 存在しない場合、Kubernetes クラスター init コンテナーの安全なコンピューティング モード プロファイルの種類を RuntimeDefault に設定します。 | init コンテナーの安全なコンピューティング モード プロファイルの種類を設定して、ユーザー空間からカーネルに対する許可されていない、有害な可能性のあるシステム呼び出しを防ぎます。 | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: Kubernetes クラスター ポッド securityContext.runAsUser フィールドを非ルート ユーザー ID の 1000 に設定する | セキュリティの脆弱性が存在する場合にルート ユーザーとして特権をエスカレーションすることによって、導入される攻撃面を減らします。 | Mutate、Disabled | 1.0.0-preview |
[プレビュー]: PodDisruptionBudget リソースの maxUnavailable ポッドを 1 に設定する | 使用できないポッドの最大値を 1 に設定すると、中断中にアプリケーションまたはサービスを使用できるようになります | Mutate、Disabled | 1.2.0-preview |
[プレビュー]: init コンテナー内のポッド仕様の特権エスカレーションを false に設定します。 | init コンテナーで特権エスカレーションを false に設定すると、コンテナーが set-user-ID や set-group-ID ファイル モードなどの特権エスカレーションを許可できなくなるため、セキュリティが向上します。 | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: ポッド仕様の特権エスカレーションを false に設定します。 | 特権エスカレーションを false に設定すると、コンテナーが set-user-ID や set-group-ID ファイル モードなどの特権エスカレーションを許可できなくなるため、セキュリティが向上します。 | Mutate、Disabled | 1.1.0-preview |
[プレビュー]: init コンテナー内のポッド仕様に readOnlyRootFileSystem が設定されていない場合は true に設定します。 | readOnlyRootFileSystem を true に設定すると、コンテナーがルート ファイルシステムに書き込むのを防ぐことでセキュリティが向上します。 これは Linux コンテナーに対してのみ機能します。 | Mutate、Disabled | 1.2.0-preview |
[プレビュー]: ポッド仕様の readOnlyRootFileSystem が設定されていない場合は true に設定します。 | readOnlyRootFileSystem を true に設定すると、コンテナーがルート ファイルシステムに書き込まないようにすることでセキュリティが向上します | Mutate、Disabled | 1.2.0-preview |
Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
Azure Arc 対応 Kubernetes クラスターに、Open Service Mesh 拡張機能がインストールされている必要がある | Open Service Mesh 拡張機能は、アプリケーション サービスのセキュリティ、トラフィック管理、および監視に関するすべての標準的なサービス メッシュ機能を提供します。 詳細については、https://aka.ms/arc-osm-doc を参照してください。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Arc 対応 Kubernetes クラスターには、Strimzi Kafka 拡張機能がインストールされている必要がある | Strimzi Kafka 拡張機能は、セキュリティと監視の機能を備えたリアルタイムのデータ パイプラインとストリーミング アプリケーションを構築するために Kafka をインストールするオペレーターを提供します。 詳細情報: https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Kubernetes クラスターでは SSH を無効にする必要がある | SSH を無効にすると、クラスターをセキュリティで保護し、攻撃面を減らすことができます。 詳細については、以下を参照してください: aka.ms/aks/disablessh | Audit、Disabled | 1.0.0 |
Azure Kubernetes クラスターで Container Storage Interface (CSI) を有効にする必要がある | Container Storage Interface (CSI) は、Azure Kubernetes Service 上のコンテナー化されたワークロードへの任意のブロックとファイル ストレージ システムの公開に関する標準です。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes クラスターでキー管理サービス (KMS) を有効にする必要がある | Kubernetes クラスターのセキュリティのために etcd での保存時にシークレット データを暗号化するため、キー管理サービス (KMS) を使います。 詳細については、https://aka.ms/aks/kmsetcdencryption を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes クラスターでは Azure CNI を使用する必要がある | Azure CNI は、Azure ネットワーク ポリシー、Windows ノード プール、仮想ノード アドオンなど、一部の Azure Kubernetes Service 機能の前提条件です。 詳細については、https://aka.ms/aks-azure-cni を参照してください | Audit、Disabled | 1.0.1 |
Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする必要がある | コマンドの呼び出しを無効にすると、制限されたネットワーク アクセスや Kubernetes のロールベースのアクセス制御のバイパスを回避してセキュリティを強化できます | Audit、Disabled | 1.0.1 |
Azure Kubernetes Service クラスターでクラスター自動アップグレードを有効にする必要がある | AKS クラスター自動アップグレードで、クラスターを常に最新の状態に保ち、AKS やアップストリーム Kubernetes が提供する最新の機能やパッチを見逃さないようにすることができます。 詳細については、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes Service クラスターでイメージ クリーナーを有効にする必要がある | イメージ クリーナーでは、脆弱性のある使用されていないイメージの自動識別および削除が実行されます。これにより、古くなったイメージによるリスクが軽減され、それらをクリーンアップするのに必要な時間が短縮されます。 詳細については、https://aka.ms/aks/image-cleaner を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes Service クラスターでは Microsoft Entra ID 統合が有効になっている必要がある | ユーザーの ID またはディレクトリ グループ メンバーシップに基づいて Kubernetes のロールベースのアクセス制御 (Kubernetes RBAC) を構成すると、AKS マネージド Microsoft Entra ID 統合で、クラスターへのアクセスを管理できます。 詳細については、https://aka.ms/aks-managed-aad を参照してください。 | Audit、Disabled | 1.0.2 |
Azure Kubernetes Service クラスターでノード OS 自動アップグレードを有効にする必要がある | AKS ノード OS 自動アップグレードにより、ノード レベルの OS セキュリティ更新プログラムが制御されます。 詳細については、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes Service クラスターでワークロード ID を有効にする必要がある | ワークロード ID を使用すると、各 Kubernetes ポッドに一意の ID を割り当て、それを Azure Key Vault などの Azure AD で保護されたリソースに関連付けて、ポッド内からこれらのリソースに安全にアクセスできます。 詳細については、https://aka.ms/aks/wi を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 | Audit、Disabled | 2.0.1 |
Azure Kubernetes Service クラスターでは、ローカル認証方法を無効にする必要があります | ローカル認証方法を無効にすると、Azure Kubernetes Service クラスターの認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/aks-disable-local-accounts を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
Azure Kubernetes Service クラスターではマネージド ID を使用する必要がある | マネージド ID を使用して、サービス プリンシパルを回り込み、クラスター管理を簡略化し、マネージド サービス プリンシパルに必要な複雑さを回避します。 詳細については、https://aka.ms/aks-update-managed-identities を参照してください | Audit、Disabled | 1.0.1 |
Azure Kubernetes Service プライベート クラスターを有効にする必要がある | Azure Kubernetes Service クラスターのプライベート クラスター機能を有効にして、API サーバーとノード プールの間のトラフィックがプライベート ネットワーク上のみに保持されるようにします。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | 1.0.2 |
Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
Azure Arc 対応 Kubernetes クラスターを構成して Azure Policy の拡張機能をインストールする | Azure Arc 用の Azure Policy 拡張機能をデプロイして大規模に適用し、Arc 対応 Kubernetes クラスターを一元化された一貫性のある方法で保護します。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | DeployIfNotExists、Disabled | 1.1.0 |
Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 お使いの Azure Kubernetes Service クラスターで SecurityProfile.Defender を有効にすると、クラスターにエージェントがデプロイされ、セキュリティ イベント データが収集されます。 Microsoft Defender for Containers の詳細: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | DeployIfNotExists、Disabled | 4.3.0 |
Kubernetes クラスターで Flux 拡張機能のインストールを構成する | クラスター内で "fluxconfigurations" のデプロイを有効にするために、Kubernetes クラスターに Flux 拡張機能をインストールします | DeployIfNotExists、Disabled | 1.0.0 |
バケット ソースと KeyVault 内のシークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された Bucket SecretKey が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Git リポジトリと HTTPS CA 証明書を使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、HTTPS CA 証明書が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
Git リポジトリと HTTPS シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された HTTPS キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Git リポジトリとローカル シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Git リポジトリと SSH シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
パブリック Git リポジトリを使用して Flux v2 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
ローカル シークレットを使用して、指定された Flux v2 バケット ソースで Kubernetes クラスターを構成する | Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する | Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
必要な管理者グループ アクセスを使用して Microsoft Entra ID 統合 Azure Kubernetes Service クラスターを構成する | Microsoft Entra ID 統合 AKS クラスターへの管理者アクセスを一元的に管理することにより、クラスターのセキュリティが確実に強化されます。 | DeployIfNotExists、Disabled | 2.1.0 |
Azure Kubernetes クラスターでノード OS 自動アップグレードを構成する | ノード OS 自動アップグレードを使用して、Azure Kubernetes Service (AKS) クラスターのノード レベルの OS セキュリティ更新プログラムを制御します。 詳しくは、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
デプロイ - Azure Kubernetes Service の診断設定を Log Analytics ワークスペースに構成する | リソース ログをストリーミングするための Azure Kubernetes Service の診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 3.0.0 |
Azure Policy アドオンを Azure Kubernetes Service クラスターにデプロイする | Azure Policy アドオンを使用して、Azure Kubernetes Service (AKS) クラスターのコンプライアンスの状態を管理およびレポートします。 詳細については、「https://aka.ms/akspolicydoc」を参照してください。 | DeployIfNotExists、Disabled | 4.1.0 |
Azure Kubernetes Service にイメージ クリーナーをデプロイする | Azure Kubernetes クラスターにイメージ クリーナーをデプロイします。 詳細については、https://aka.ms/aks/image-cleaner を参照してください。 | DeployIfNotExists、Disabled | 1.0.4 |
計画メンテナンスをデプロイして Azure Kubernetes Service (AKS) クラスターのアップグレードをスケジュールおよび制御する | 計画メンテナンスを使用すると、週ごとのメンテナンス期間をスケジュールして、更新を実行し、ワークロードへの影響を最小限に抑えることができます。 スケジュールが設定されると、アップグレードは選択した期間内にのみ実行されます。 詳細については、https://aka.ms/aks/planned-maintenance を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする | コマンドの呼び出しを無効にすると、クラスターへの invoke-command アクセスを拒否してセキュリティを強化できます | DeployIfNotExists、Disabled | 1.2.0 |
クラスター コンテナーに readiness probe または liveness probe が構成されていることを確認する | このポリシーでは、すべてのポッドに readiness probe または liveness probe が構成されていることが強制されます。 プローブの種類は、tcpSocket、httpGet、exec のいずれかになります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | Audit、Deny、Disabled | 3.3.0 |
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 | |
Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない | コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある | ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes クラスター コンテナーでは、許可されているプル ポリシーのみを使用する必要がある | コンテナーのプル ポリシーを制限して、デプロイで許可されているイメージのみを使用するようコンテナーに強制します。 | Audit、Deny、Disabled | 3.2.0 |
Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある | ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある | ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある | ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある | ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある | 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある | Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
Kubernetes クラスターでは、Naked Pod を使用しない | Naked Pod の使用をブロックします。 ノード障害が発生した場合、Naked Pod は再スケジュールされません。 ポッドは、Deployment、Replicset、Daemonset、または Jobs で管理する必要があります | Audit、Deny、Disabled | 2.3.0 |
Kubernetes クラスターの Windows コンテナーでは CPU とメモリをオーバーコミットすることができない | Windows コンテナー リソース要求は、オーバーコミットを回避するために、リソースの制限以下または未指定にする必要があります。 Windows メモリが過剰にプロビジョニングされている場合、メモリ不足でコンテナーを終了するのではなく、ディスク内のページが処理されるため、パフォーマンスが低下する可能性があります | Audit、Deny、Disabled | 2.2.0 |
Kubernetes クラスターの Windows コンテナーを ContainerAdministrator として実行することはできない | Windows ポッドまたはコンテナーのコンテナー プロセスを実行するためのユーザーとして ContainerAdministrator を使用できないようにします。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
Kubernetes クラスター Windows コンテナーは、承認されたユーザーとドメイン ユーザー グループでのみ実行する必要がある | Kubernetes クラスターで Windows ポッドとコンテナーを実行するために使用できるユーザーを制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした、Windows ノード上のポッド セキュリティ ポリシーの一部です。 | Audit、Deny、Disabled | 2.2.0 |
Kubernetes クラスターの Windows ポッドでは HostProcess コンテナーを実行しない | Windows ノードへの特権アクセスを禁止します。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Kubernetes クラスターで cluster-admin ロールが、必要な場合にのみ使用されていることを確認する必要がある | ロール 'cluster-admin' は、環境に対して幅広い機能を提供し、必要な場合にのみ使用する必要があります。 | Audit、Disabled | 1.1.0 |
Kubernetes クラスターでは、ロールとクラスター ロールでのワイルドカードの使用を最小限に抑える必要がある | ワイルドカード '*' は、特定のロールには必要ないかもしれない広範なアクセス許可を付与するため、ワイルドカードの使用はセキュリティ上のリスクになる可能性があります。 ロールのアクセス許可が多すぎると、攻撃者や侵害されたユーザーによって、クラスター内のリソースへ不正アクセスを行うためにロールが悪用される可能性があります。 | Audit、Disabled | 1.1.0 |
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes クラスターで ClusterRole/system:aggregate-edit のエンドポイント編集アクセス許可を許可しない | CVE-2021-25740 のため、ClusterRole/system:aggregate-to-edit でエンドポイント編集権限を許可しないでください。Endpoint および EndpointSlice 権限では、名前空間間の転送が許可されます (https://github.com/kubernetes/kubernetes/issues/103675)。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Disabled | 3.2.0 |
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
Kubernetes クラスターでは特定のセキュリティ機能を使用しない | Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 |
Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Kubernetes クラスターでは、Container Storage Interface (CSI) ドライバー StorageClass を使用する必要があります | Container Storage Interface (CSI) は、Kubernetes のコンテナー化されたワークロードに任意のブロックおよびファイル ストレージ システムを公開する標準です。 AKS バージョン 1.21 以降、ツリー内プロビジョナー StorageClass は非推奨にする必要があります。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 | Audit、Deny、Disabled | 2.3.0 |
Kubernetes クラスターでは内部ロード バランサーを使用する必要がある | 内部ロード バランサーを使用することで、Kubernetes サービスを Kubernetes クラスターと同じ仮想ネットワークで実行されているアプリケーションからのみアクセス可能にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes リソースには必須の注釈が必要 | Kubernetes リソースのリソース管理を向上させるために、必要な注釈が特定の Kubernetes リソースの種類にアタッチされていることを確認します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Deny、Disabled | 3.2.0 |
Azure Kubernetes Service でリソース ログを有効にする必要がある | Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします | AuditIfNotExists、Disabled | 1.0.0 |
Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
Lab Services
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Lab Services では自動シャットダウンのすべてのオプションを有効にする必要がある | このポリシーは、ラボに対してすべての自動シャットダウン オプションを有効にすることで、コスト管理に役立ちます。 | Audit、Deny、Disabled | 1.1.0 |
Lab Services でラボのテンプレート仮想マシンを許可しない | このポリシーでは、Lab Services で管理されるラボのテンプレート仮想マシンの作成とカスタマイズを禁止します。 | Audit、Deny、Disabled | 1.1.0 |
Lab Services ではラボに管理者以外のユーザーが必要 | このポリシーでは、ラボ サービスを使用して管理されるラボに対して管理者以外のユーザー アカウントを作成する必要があります。 | Audit、Deny、Disabled | 1.1.0 |
Lab Services では、許可されている仮想マシンの SKU サイズを制限する必要がある | このポリシーを使用すると、Lab Services を介して管理されるラボの特定のコンピューティング VM SKU を制限できます。 これにより、特定の仮想マシンのサイズが制限されます。 | Audit、Deny、Disabled | 1.1.0 |
Lighthouse
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Lighthouse を使用してオンボードするテナント ID の管理を許可する | Azure Lighthouse の委任を特定の管理テナントに制限すると、Azure リソースを管理できるユーザーが制限されることにより、セキュリティが向上します。 | deny | 1.0.1 |
管理テナントへのスコープの委任を監査する | Azure Lighthouse を介した管理テナントへのスコープの委任を監査します。 | Audit、Disabled | 1.0.0 |
Logic Apps
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある | 統合サービス環境にデプロイし、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.0.0 |
統合サービス環境に Logic Apps をデプロイする必要がある | 仮想ネットワーク内の統合サービス環境に Logic Apps をデプロイすると、Logic Apps のネットワークとセキュリティの高度な機能が利用できるようになり、ネットワーク構成の制御を強化できます。 詳細については、https://aka.ms/integration-service-environment を参照してください。 また、統合サービス環境にデプロイすることで、カスタマー マネージド キーを使用した暗号化も可能になります。これにより、暗号化キーを自分で管理できるようにすることで、データ保護が強化されます。 その目的は、多くの場合、コンプライアンス要件を満たすことです。 | Audit、Deny、Disabled | 1.0.0 |
Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
Machine Learning
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Machine Learning のデプロイでは、承認済みのレジストリ モデルのみを使用する必要がある | レジストリ モデルのデプロイを制限して、組織内で使用される外部で作成されたモデルを制御します | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: Azure Machine Learning モデル レジストリのデプロイは、許可されたレジストリを除いて制限される | 許可されたレジストリに、制限されていないレジストリ モデルのみをデプロイします。 | Deny、Disabled | 1.0.0-preview |
Azure Machine Learning コンピューティング インスタンスでアイドル シャットダウンを行う必要がある。 | アイドル シャットダウンをスケジュール設定すると、事前に決定されたアクティビティ期間の後にアイドル状態になっているコンピューティングがシャットダウンされ、コストが削減されます。 | Audit、Deny、Disabled | 1.0.0 |
最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある | Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 | Audit、Disabled | 1.0.1 |
Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になり、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Audit、Deny、Disabled | 2.1.0 |
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットに公開されないようになり、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
ネットワークの分離の下位互換性をサポートするには、Azure Machine Learning ワークスペースで V1LegacyMode を有効にする必要がある | Azure ML では、Azure Resource Manager 上の新しい V2 API プラットフォームへの移行が行われ、V1LegacyMode パラメーターを使用して API プラットフォームのバージョンを制御できます。 V1LegacyMode パラメーターを有効にすると、ワークスペースを V1 と同じネットワーク分離状態に保つことができますが、新しい V2 の機能は使用できません。 AzureML コントロール プレーン データをプライベート ネットワーク内に保持したい場合にのみ V1 レガシ モードを有効にすることをお勧めします。 詳細については、https://aka.ms/V1LegacyMode を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
Azure Machine Learning ワークスペースではユーザー割り当てマネージド ID を使用する必要がある | ユーザー割り当てマネージド ID を使用して、Azure ML ワークスペースと関連付けられているリソース、Azure Container Registry、KeyVault、Storage、および App Insights へのアクセスを管理します。 既定では、関連付けられているリソースにアクセスするために、システムによって割り当てられたマネージド ID が Azure ML ワークスペースで使用されます。 ユーザー割り当てのマネージド ID を使用すると、Azure リソースとして ID を作成し、その ID のライフサイクルを保守することができます。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Machine Learning コンピューティングを構成してローカル認証方法を無効にする | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になるようにします。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Modify、Disabled | 2.1.0 |
プライベート DNS ゾーンを使用するように Azure Machine Learning ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Machine Learning ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
公衆ネットワーク アクセスを無効にするように Azure Machine Learning ワークスペースを構成する | パブリック インターネット経由でワークスペースにアクセスできないように、Azure Machine Learning ワークスペースの公衆ネットワーク アクセスを無効にします。 これは、データ漏洩のリスクからワークスペースを保護するために役立ちます。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Modify、Disabled | 1.0.3 |
プライベート エンドポイントを使用して Azure Machine Learning ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Log Analytics ワークスペースに Azure Machine Learning ワークスペースの診断設定を構成する | Azure Machine Learning ワークスペースのリソース ログをストリーミングする診断設定がない Azure Machine Learning ワークスペースが作成または更新されたときには、その診断設定を Log Analytics ワークスペースにデプロイします。 | DeployIfNotExists、Disabled | 1.0.1 |
Azure Machine Learning ワークスペースのリソース ログを有効にする必要がある | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
マネージド アプリケーション
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
マネージド アプリケーションのアプリケーション定義では、ユーザー指定のストレージ アカウントを使用する | これが規制またはコンプライアンスの要件である場合、独自のストレージ アカウントを使用してアプリケーション定義データを制御してください。 管理アプリケーション定義は、作成時に指定したストレージ アカウント内に保存することを選択できます。これにより、場所とアクセスを完全に管理し、規制コンプライアンス要件を満たすことができます。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
マネージド アプリケーションの関連付けのデプロイ | 選択したリソースの種類を、指定したマネージド アプリケーションに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 | deployIfNotExists | 1.0.0 |
マネージド Grafana
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Managed Grafana ワークスペースではメール設定を無効にする必要がある | Grafana ワークスペースでのアラート用の特定のメール連絡先の SMTP 設定構成を無効にします。 | Audit、Deny、Disabled | 1.0.0 |
Azure Managed Grafana ワークスペースでは Grafana Enterprise のアップグレードを無効にする必要がある | Grafana ワークスペースでの Grafana Enterprise のアップグレードを無効にします。 | Audit、Deny、Disabled | 1.0.0 |
Azure Managed Grafana ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Managed Grafana ワークスペースがパブリック インターネット上に公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、ワークスペースの公開を制限できます。 | Audit、Deny、Disabled | 1.0.0 |
Azure Managed Grafana ワークスペースではサービス アカウントを無効にする必要がある | Grafana ワークスペース内の自動化されたワークロードの API キーとサービス アカウントを無効にします。 | Audit、Deny、Disabled | 1.0.0 |
Azure Managed Grafana ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Managed Grafana にプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 | Audit、Disabled | 1.0.1 |
パブリック ネットワーク アクセスを無効にするように Azure Managed Grafana ワークスペースを構成する | Azure Managed Grafana ワークスペースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するよう Azure Managed Grafana ワークスペースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンはお客様の仮想ネットワークに接続して Azure Managed Grafana ワークスペースに解決します。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用するように Azure Managed Grafana ワークスペースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Managed Grafana にプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 | DeployIfNotExists、Disabled | 1.0.1 |
マネージド ID
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Kubernetes からのマネージド ID フェデレーション資格情報は、信頼できるソースからのものである必要がある | このポリシーでは、Azure Kubernetes クラスターとのフェデレーションを、承認済みテナント、承認済みリージョン、および追加クラスターの特定の例外リストからのクラスターのみに制限します。 | Audit, Disabled, Deny | 1.0.0-preview |
[プレビュー]: GitHub からのマネージド ID フェデレーション資格情報は、信頼できるリポジトリ所有者からのものである必要がある | このポリシーでは、GitHub リポジトリのフェデレーションを、承認されたリポジトリ所有者のみに制限します。 | Audit, Disabled, Deny | 1.0.1-preview |
[プレビュー]: マネージド ID フェデレーション資格情報は、許可された発行者の種類からのものである必要がある | このポリシーでは、マネージド ID で、一般的な発行者の種類に許可されているフェデレーション資格情報を使用できるかどうかを制限し、許可されている発行者例外の一覧を提供します。 | Audit, Disabled, Deny | 1.0.0-preview |
[プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machine Scale Sets に割り当てる | 仮想マシン スケール セットに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machines に割り当てる | 仮想マシンに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
Maps
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
CORS でマップ アカウントへのアクセスをすべてのリソースには許可しない。 | クロス オリジン リソース共有 (CORS) では、マップ アカウントへのアクセスをすべてのドメインには許可しないでください。 マップ アカウントの操作に必要なドメインのみを許可します。 | 無効、監査、拒否 | 1.0.0 |
Media Services
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Media Services アカウントで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに Media Services リソースが露出されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Media Services リソースの露出を制限できます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Media Services アカウントでは、Private Link をサポートする API を使用する必要がある | Media Services アカウントは、プライベート リンクをサポートする API を使用して作成する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
レガシ v2 API へのアクセスを許可する Azure Media Services アカウントをブロックする必要がある | Media Services レガシ v2 API は、Azure Policy を使用して管理できない要求を許可します。 2020-05-01 API 以降を使用して作成された Media Services リソースは、レガシ v2 API へのアクセスをブロックします。 | Audit、Deny、Disabled | 1.0.0 |
Azure Media Services コンテンツ キー ポリシーではトークン認証を使用する必要がある | コンテンツ キー ポリシーは、コンテンツ キーにアクセスするために満たす必要がある条件を定義します。 トークン制限により、認証サービス (Microsoft Entra ID など) からの有効なトークンを持つユーザーしかコンテンツ キーにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
HTTPS 入力のある Azure Media Services ジョブでは入力 URI を許可された URI パターンに制限する必要がある | Media Services ジョブによって使用される HTTPS 入力を既知のエンドポイントに制限します。 HTTPS エンドポイントからの入力は、許可されるジョブ入力パターンとして空のリストを設定することで完全に無効にすることができます。 ジョブの入力で "baseUri" が指定されている場合、その値とパターンが照合されます。"baseUri" が設定されていない場合、パターンは "files" プロパティと照合されます。 | Deny、Disabled | 1.0.1 |
Azure Media Services では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Media Services アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/mediaservicescmkdocs をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Media Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure Media Services を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Media Services アカウントに解決されます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Media Services を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Migrate
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プライベート DNS ゾーンを使用するよう Azure Migrate リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure Migrate プロジェクトを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
モバイル ネットワーク
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Packet Core コントロール プレーン診断アクセスを構成して、認証の種類 Microsoft EntraID を使用します | ローカル API 経由のパケット コア診断アクセスには、認証の種類が Microsoft EntraID である必要があります | Modify、Disabled | 1.0.0 |
パケット コア コントロール プレーンの診断アクセスは、Microsoft EntraID 認証の種類のみを使用する必要があります | ローカル API 経由のパケット コア診断アクセスには、認証の種類が Microsoft EntraID である必要があります | Audit、Deny、Disabled | 1.0.0 |
SIM グループでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、SIM グループ内の SIM シークレットの残りの部分での暗号化を管理します。 カスタマー マネージド キーは、規制コンプライアンス標準を満たすために一般的に必要であり、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できるようにします。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.0.0 |
監視
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Linux マシンを構成する | Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Linux マシンを保護します。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 既定の Log Analytics ワークスペースに接続された Log Analytics エージェントを使用して、Azure Arc 対応 Windows マシンを構成する | Microsoft Defender for Cloud によって作成された既定の Log Analytics ワークスペースにデータを送信する Log Analytics エージェントをインストールすることにより、Microsoft Defender for Cloud 機能で Azure Arc 対応 Windows マシンを保護します。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: システム割り当てマネージド ID を構成して、VM で Azure Monitor 割り当てを有効にする | Azure でホストされている仮想マシンのうち、Azure Monitor によってサポートされているものの、システム割り当てマネージド ID が与えられていない仮想マシンに、システム割り当てマネージド ID を構成します。 システム割り当てマネージド ID はすべての Azure Monitor 割り当ての前提条件であり、Azure Monitor 拡張機能を使用する前に、マシンに追加する必要があります。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | Modify、Disabled | 6.0.0-preview |
一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
[プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
アクティビティ ログを 1 年以上保持する必要がある | このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
Application Insights コンポーネントでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、Application Insights のセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このコンポーネントのログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Application Insights コンポーネントでは、非 Azure Active Directory ベースの取り込みをブロックする必要がある。 | ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 | Deny、Audit、Disabled | 1.0.0 |
プライベート リンクを有効にした Application Insights コンポーネントでは、プロファイラーとデバッガー用に Bring Your Own Storage アカウントを使用する必要がある。 | プライベート リンクとカスタマー マネージド キーのポリシーをサポートするには、プロファイラーとデバッガー用の独自のストレージ アカウントを作成します。 詳細については、https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage を参照してください | Deny、Audit、Disabled | 1.0.0 |
選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
Azure Application Gateway でリソース ログを有効にする必要がある | Azure Application Gateway (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Front Door でリソース ログを有効にする必要がある | Azure Front Door (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Front Door Standard または Premium (Plus WAF) でリソース ログを有効にする必要がある | Azure Front Door Standard または Premium (および WAF) のリソース ログと、Log Analytics ワークスペースへのストリームを有効にします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
Log Analytics ワークスペースを介した Azure ログ検索アラートでは、カスタマー マネージド キーを使用する必要がある | 顧客がクエリ対象の Log Analytics ワークスペースに対して提供したストレージ アカウントを使用してクエリ テキストを保存することで、Azure ログ検索アラートでカスタマー マネージド キーが実装されるようにします。 詳細については、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | Audit, Disabled, Deny | 1.0.0 |
Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします | AuditIfNotExists、Disabled | 1.0.0 |
Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Application Insights 用の Azure Monitor ログを Log Analytics ワークスペースにリンクする必要がある | Application Insights コンポーネントを Log Analytics ワークスペースにリンクしてログを暗号化します。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor のデータに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用して有効にされた Log Analytics ワークスペースにコンポーネントをリンクすることで、Application Insights のログが確実にこのコンプライアンス要件を満たします。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Monitor プライベート リンク スコープでプライベート リンク リソース以外へのアクセスをブロックする必要がある | Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
Azure Monitor プライベート リンク スコープではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
Azure Monitor ソリューション "Security and Audit" をデプロイする必要がある | このポリシーでは、Security and Audit が確実にデプロイされるようにします。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
指定された Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する | Azure Activity の診断設定をデプロイして、サブスクリプションの監査ログを Log Analytics ワークスペースにストリーミングし、サブスクリプション レベルのイベントを監視します | DeployIfNotExists、Disabled | 1.0.0 |
ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Application Insights コンポーネントを構成する | セキュリティを強化するために、公衆ネットワーク アクセスからのコンポーネントのログの取り込みとクエリを無効にします。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 | Modify、Disabled | 1.1.0 |
ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Log Analytics ワークスペースを構成する | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 | Modify、Disabled | 1.1.0 |
プライベート リンク リソース以外へのアクセスをブロックするように Azure Monitor プライベート リンク スコープを構成する | Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open を参照してください。 | Modify、Disabled | 1.0.0 |
プライベート DNS ゾーンを使用するように Azure Monitor プライベート リンク スコープを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Monitor プライベート リンク スコープに解決されます。 詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
プライベート エンドポイントを使用して Azure Monitor プライベート リンク スコープを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Azure Arc が有効な Linux サーバー上で依存関係エージェントを構成する | 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.1.0 |
Azure Monitoring Agent 設定を使用して Azure Arc 対応の Linux サーバーで Dependency Agent を構成する | Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
Azure Arc が有効な Windows サーバー上で依存関係エージェントを構成する | 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 2.1.0 |
Azure Monitoring Agent 設定を使用して Azure Arc 対応の Windows サーバーで Dependency Agent を構成する | Azure Monitoring Agent 設定を使用して依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 | DeployIfNotExists、Disabled | 1.2.0 |
Linux Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.1 |
Azure Monitor エージェントを実行するように Linux Arc 対応マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
Linux マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 6.5.1 |
Linux 仮想マシン スケール セットを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.4.1 |
システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.6.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.8.0 |
Linux Virtual Machines を構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.4.1 |
システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.6.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.8.0 |
Azure Arc が有効な Linux サーバー上で Log Analytics 拡張機能を構成する。 下記の非推奨の通知を参照してください。 | Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | DeployIfNotExists、Disabled | 2.1.1 |
Azure Arc が有効な Windows サーバー上で Log Analytics 拡張機能を構成する | Log Analytics の仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 2.1.1 |
ログと監視を集中管理するように Log Analytics ワークスペースとオートメーション アカウントを構成する | Log Analytics ワークスペースとリンクされたオートメーション アカウントを含むリソース グループをデプロイして、ログと監視を集中管理します。 オートメーション アカウントは、Updates や Change Tracking のようなソリューションの前提条件です。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
Windows Arc マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows Arc マシンをリンクします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 2.2.1 |
Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows Arc 対応マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 2.4.0 |
Windows マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.5.1 |
Windows 仮想マシン スケール セットを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.3.1 |
システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシン スケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.4.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.6.0 |
Windows Virtual Machines を構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.3.1 |
システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 4.4.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.6.0 |
一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 3.2.0 |
デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 | DeployIfNotExists、Disabled | 3.2.0 |
デプロイ - Azure Key Vault マネージド HSM で有効にする診断設定を Log Analytics ワークスペースに構成する | この診断設定がない Azure Key Vault マネージド HSM が作成または更新されたときに地域の Log Analytics ワークスペースにストリーム配信する Azure Key Vault マネージド HSM の診断設定をデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
デプロイ - Log Analytics 拡張機能を Windows 仮想マシンで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
Linux Virtual Machine Scale Sets 用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | deployIfNotExists | 5.1.0 |
Azure Monitoring Agent 設定を使用して Linux 仮想マシン スケール セット用の依存関係エージェントをデプロイする | 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | DeployIfNotExists、Disabled | 3.2.0 |
Linux 仮想マシン用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux 仮想マシン用にエージェントをデプロイします。 | deployIfNotExists | 5.1.0 |
Azure Monitoring Agent 設定を使用して Linux 仮想マシン用の Dependency Agent をデプロイする | 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 | DeployIfNotExists、Disabled | 3.2.0 |
Azure Monitoring Agent 設定を使用して Windows 仮想マシン スケール セットで有効にする依存関係エージェントをデプロイする | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 1.3.0 |
Azure Monitoring Agent 設定を使用して Windows 仮想マシンで有効にする依存関係エージェントをデプロイする | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 | DeployIfNotExists、Disabled | 1.3.0 |
Batch アカウントの診断設定をイベント ハブにデプロイする | Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Batch アカウントの診断設定を Log Analytics ワークスペースにデプロイする | Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.1.0 |
Data Lake Analytics の診断設定をイベント ハブにデプロイする | Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Data Lake Analytics の診断設定を Log Analytics ワークスペースにデプロイする | Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
Data Lake Storage Gen1 の診断設定をイベント ハブにデプロイする | Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Data Lake Storage Gen1 の診断設定を Log Analytics ワークスペースにデプロイする | Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
イベント ハブの診断設定をイベント ハブにデプロイする | イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.1.0 |
イベント ハブの診断設定を Log Analytics ワークスペースにデプロイする | イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Key Vault の診断設定を Log Analytics ワークスペースにデプロイする | Key Vault の診断設定をデプロイして、この診断設定がない Key Vault が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 3.0.0 |
Logic Apps の診断設定をイベント ハブにデプロイする | Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Logic Apps の診断設定を Log Analytics ワークスペースにデプロイする | Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
ネットワーク セキュリティ グループの診断設定のデプロイ | このポリシーは、ネットワーク セキュリティ グループに対して診断設定を自動的にデプロイします。 '{storagePrefixParameter}{NSGLocation}' という名前のストレージ アカウントが自動的に作成されます。 | deployIfNotExists | 2.0.1 |
Search サービスの診断設定をイベント ハブにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Search サービスの診断設定を Log Analytics ワークスペースにデプロイする | Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
Service Bus の診断設定をイベント ハブにデプロイする | Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Service Bus の診断設定を Log Analytics ワークスペースにデプロイする | Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 2.1.0 |
Stream Analytics の診断設定をイベント ハブにデプロイする | Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 | DeployIfNotExists、Disabled | 2.0.0 |
Stream Analytics の診断設定を Log Analytics ワークスペースにデプロイする | Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
Linux 仮想マシン スケール セット用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 | 定義された一覧に VM イメージ (OS) があり、Log Analytics 拡張機能がインストールされていない場合は、Linux Virtual Machine Scale Sets 用に拡張機能をデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 非推奨の通知: Log Analytics エージェントは、2024 年 8 月 31 日以降はサポートされません。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | deployIfNotExists | 3.0.0 |
Linux VM 用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 | 定義されている一覧に VM イメージ (OS) があり、この Linux VM 用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | deployIfNotExists | 3.0.0 |
1ES Hosted Pools (microsoft.cloudtest/hostedpools) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、1ES Hosted Pools (microsoft.cloudtest/hostedpools) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
1ES Hosted Pools (microsoft.cloudtest/hostedpools) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、1ES Hosted Pools (microsoft.cloudtest/hostedpools) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
1ES Hosted Pools (microsoft.cloudtest/hostedpools) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、1ES Hosted Pools (microsoft.cloudtest/hostedpools) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Analysis Services (microsoft.analysisservices/servers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Analysis Services (microsoft.analysisservices/servers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Analysis Services (microsoft.analysisservices/servers) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Analysis Services (microsoft.analysisservices/servers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Analysis Services (microsoft.analysisservices/servers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Analysis Services (microsoft.analysisservices/servers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Apache Spark プール (microsoft.synapse/workspaces/bigdatapools) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
API Management サービス (microsoft.apimanagement/service) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、API Management サービス (microsoft.apimanagement/service) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
App Configuration (microsoft.appconfiguration/configurationstores) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Configuration (microsoft.appconfiguration/configurationstores) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
App Service (microsoft.web/sites) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service (microsoft.web/site) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Virtual Desktop Application グループ (microsoft.desktopvirtualization/applicationgroups) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション グループ (microsoft.desktopvirtualization/applicationgroups) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Application Insights (microsoft.insights/components) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Application Insights (microsoft.insights/components) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Application Insights (microsoft.insights/components) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Application Insights (microsoft.insights/components) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Application Insights (Microsoft.Insights/components) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする (Virtual Enclaves) | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Application Insights (Microsoft.Insights/components) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.1 |
Application Insights (microsoft.insights/components) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Application Insights (microsoft.insights/components) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
構成証明プロバイダー (microsoft.attestation/attestationproviders) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、構成証明プロバイダー (microsoft.attestation/attestationproviders) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
構成証明プロバイダー (microsoft.attestation/attestationproviders) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、構成証明プロバイダー (microsoft.attestation/attestationproviders) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
構成証明プロバイダー (microsoft.attestation/attestationproviders) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、構成証明プロバイダー (microsoft.attestation/attestationproviders) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Automation アカウント (microsoft.automation/automationaccounts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Automation アカウント (microsoft.automation/automationaccounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
AVS プライベート クラウド (microsoft.avs/privateclouds) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、AVS プライベート クラウド (microsoft.avs/privateclouds) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
AVS プライベート クラウド (microsoft.avs/privateclouds) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、AVS プライベート クラウド (microsoft.avs/privateclouds) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
AVS プライベート クラウド (microsoft.avs/privateclouds) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、AVS プライベート クラウド (microsoft.avs/privateclouds) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure AD Domain Services (microsoft.aad/domainservices) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure AD Domain Services (microsoft.aad/domainservices) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure AD Domain Services (microsoft.aad/domainservices) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure AD Domain Services (microsoft.aad/domainservices) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure AD Domain Services (microsoft.aad/domainservices) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure AD Domain Services (microsoft.aad/domainservices) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure API for FHIR (microsoft.healthcareapis/services) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure API for FHIR (microsoft.healthcareapis/services) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure API for FHIR (microsoft.healthcareapis/services) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure API for FHIR (microsoft.healthcareapis/services) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure API for FHIR (microsoft.healthcareapis/services) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure API for FHIR (microsoft.healthcareapis/services) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
イベント ハブへの Azure Cache for Redis (microsoft.cache/redis) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cache for Redis (microsoft.cache/redis) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
Azure Cache for Redis (microsoft.cache/redis) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cache for Redis (microsoft.cache/redis) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure Cache for Redis (microsoft.cache/redis) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cache for Redis (microsoft.cache/redis) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure Cosmos DB (microsoft.documentdb/databaseaccounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Cosmos DB アカウント (microsoft.documentdb/databaseaccounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Data Explorer クラスター (microsoft.kusto/clusters) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Data Explorer クラスター (microsoft.kusto/clusters) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Data Explorer クラスター (microsoft.kusto/clusters) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Data Explorer クラスター (microsoft.kusto/clusters) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Data Explorer クラスター (microsoft.kusto/clusters) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Data Explorer クラスター (microsoft.kusto/clusters) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Database for MariaDB サーバー (microsoft.dbformariadb/servers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for MariaDB サーバー (microsoft.dbformariadb/servers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Database for MariaDB サーバー (microsoft.dbformariadb/servers) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for MariaDB サーバー (microsoft.dbformariadb/servers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Database for MariaDB サーバー (microsoft.dbformariadb/servers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for MariaDB サーバー (microsoft.dbformariadb/servers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Database for MySQL サーバー (microsoft.dbformysql/servers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for MySQL サーバー (microsoft.dbformysql/servers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Database for MySQL サーバー (microsoft.dbformysql/servers) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for MySQL サーバー (microsoft.dbformysql/servers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Database for MySQL サーバー (microsoft.dbformysql/servers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Database for MySQL サーバー (microsoft.dbformysql/servers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Databricks Services (microsoft.databricks/workspaces) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Databricks Services (microsoft.databricks/workspaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Databricks Services (microsoft.databricks/workspaces) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Databricks Services (microsoft.databricks/workspaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Databricks Services (microsoft.databricks/workspaces) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Databricks Services (microsoft.databricks/workspaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure FarmBeats (microsoft.agfoodplatform/farmbeats) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
Azure FarmBeats (microsoft.agfoodplatform/farmbeats) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 用のLog Analytics ワークスペースにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure FarmBeats (microsoft.agfoodplatform/farmbeats) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure Load Testing (microsoft.loadtestservice/loadtests) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Load Testing (microsoft.loadtestservice/loadtests) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Load Testing (microsoft.loadtestservice/loadtests) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Load Testing (microsoft.loadtestservice/loadtests) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Load Testing (microsoft.loadtestservice/loadtests) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Load Testing (microsoft.loadtestservice/loadtests) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Machine Learning (microsoft.machinelearningservices/workspaces) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Machine Learning (microsoft.machinelearningservices/workspaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
Log Analytics への Azure Machine Learning (microsoft.machinelearningservices/workspaces) のカテゴリ グループごとのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーは、カテゴリ グループを使用して診断設定をデプロイし、Azure Machine Learning (microsoft.machinelearningservices/workspaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure Machine Learning (microsoft.machinelearningservices/workspaces) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Machine Learning (microsoft.machinelearningservices/workspaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Azure Managed Grafana (microsoft.dashboard/grafana) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Managed Grafana (microsoft.dashboard/grafana) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Managed Grafana (microsoft.dashboard/grafana) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Managed Grafana (microsoft.dashboard/grafana) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Managed Grafana (microsoft.dashboard/grafana) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Managed Grafana (microsoft.dashboard/grafana) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Spring Apps (microsoft.appplatform/spring) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Spring Apps (microsoft.appplatform/spring) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Spring Apps (microsoft.appplatform/spring) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Spring Apps (microsoft.appplatform/spring) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Spring Apps (microsoft.appplatform/spring) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Spring Apps (microsoft.appplatform/spring) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Synapse Analytics (microsoft.synapse/workspaces) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Synapse Analytics (microsoft.synapse/workspaces) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Synapse Analytics (microsoft.synapse/workspaces) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Synapse Analytics (microsoft.synapse/workspaces) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Synapse Analytics (microsoft.synapse/workspaces) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Synapse Analytics (microsoft.synapse/workspaces) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Video Indexer (microsoft.videoindexer/accounts) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Video Indexer (microsoft.videoindexer/accounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Video Indexer (microsoft.videoindexer/accounts) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Video Indexer (microsoft.videoindexer/accounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Video Indexer (microsoft.videoindexer/accounts) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Azure Video Indexer (microsoft.videoindexer/accounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
バックアップ コンテナー (microsoft.dataprotection/backupvaults) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、バックアップ コンテナー (microsoft.dataprotection/backupvaults) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
バックアップ コンテナー (microsoft.dataprotection/backupvaults) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、バックアップ コンテナー (microsoft.dataprotection/backupvaults) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
バックアップ コンテナー (microsoft.dataprotection/backupvaults) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、バックアップ コンテナー (microsoft.dataprotection/backupvaults) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bastion (microsoft.network/bastionhosts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、Bastion (microsoft.network/bastionhosts) 用のLog Analytics ワークスペースにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bastion (microsoft.network/bastionhosts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Batch アカウント (microsoft.batch/batchaccounts) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Batch アカウント (microsoft.batch/batchaccounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Batch アカウント (microsoft.batch/batchaccounts) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Batch アカウント (microsoft.batch/batchaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Batch アカウント (microsoft.batch/batchaccounts) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Batch アカウント (microsoft.batch/batchaccounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Bot Service (microsoft.botservice/botservices) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bot Service (microsoft.botservice/botservices) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Bot Service (microsoft.botservice/botservices) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bot Service (microsoft.botservice/botservices) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Bot Service (microsoft.botservice/botservices) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bot Service (microsoft.botservice/botservices) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Cache (microsoft.cache/redisenterprise/databases) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cache (microsoft.cache/redisenterprise/databases) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Cache (microsoft.cache/redisenterprise/databases) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cache (microsoft.cache/redisenterprise/databases) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Cache (microsoft.cache/redisenterprise/databases) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cache (microsoft.cache/redisenterprise/databases) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Chaos 実験 (microsoft.chaos/experiments) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Chaos 実験 (microsoft.chaos/experiments) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Chaos 実験 (microsoft.chaos/experiments) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Chaos 実験 (microsoft.chaos/experiments) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Chaos 実験 (microsoft.chaos/experiments) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Chaos 実験 (microsoft.chaos/experiments) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
コード署名アカウント (microsoft.codesigning/codesigningaccounts) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コード署名アカウント (microsoft.codesigning/codesigningaccounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
コード署名アカウント (microsoft.codesigning/codesigningaccounts) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コード署名アカウント (microsoft.codesigning/codesigningaccounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
コード署名アカウント (microsoft.codesigning/codesigningaccounts) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コード署名アカウント (microsoft.codesigning/codesigningaccounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
Communication Services (microsoft.communication/communicationservices) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Communication Services (microsoft.communication/communicationservices) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Communication Services (microsoft.communication/communicationservices) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Communication Services (microsoft.communication/communicationservices) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Communication Services (microsoft.communication/communicationservices) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Communication Services (microsoft.communication/communicationservices) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
接続キャッシュ リソース (microsoft.connectedcache/ispcustomers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、接続キャッシュ リソース (microsoft.connectedcache/ispcustomers) のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
接続キャッシュ リソース (microsoft.connectedcache/ispcustomers) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、接続キャッシュ リソース (microsoft.connectedcache/ispcustomers) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
接続キャッシュ リソース (microsoft.connectedcache/ispcustomers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、接続キャッシュ リソース (microsoft.connectedcache/ispcustomers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Container Apps 環境 (microsoft.app/managedenvironments) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Container Apps 環境 (microsoft.app/managedenvironments) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Container Apps 環境 (microsoft.app/managedenvironments) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Container Apps 環境 (microsoft.app/managedenvironments) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Container Apps 環境 (microsoft.app/managedenvironments) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Container Apps 環境 (microsoft.app/managedenvironments) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
コンテナー インスタンス (microsoft.containerinstance/containergroups) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、コンテナー インスタンス (microsoft.containerinstance/containergroups) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
コンテナー インスタンス (microsoft.containerinstance/containergroups) 用のカテゴリ グループを使用した Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーで |