Azure Virtual Machines 用の Azure Policy 組み込み定義
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
このページは、Azure Virtual Machines 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Microsoft.Compute
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: 仮想マシンでゲスト構成の割り当てを有効にするためにユーザー割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている仮想マシンに、ユーザー割り当てマネージド ID が追加されます。 ユーザー割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
[プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machine Scale Sets に割り当てる | 仮想マシン スケール セットに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: 組み込みのユーザー割り当てマネージド ID を Virtual Machines に割り当てる | 仮想マシンに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: Automanage 構成プロファイルの割り当ては Conformant である必要がある | Automanage によって管理されるリソースの状態は Conformant または ConformantCorrected である必要があります。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Managed Disks に対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Managed Disks を確実に保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシン スケール セットにインストールする必要がある | Linux 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシンにインストールする必要がある | Linux 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシン スケール セットにインストールする必要がある | Windows 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.1.0-preview |
[プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシンにインストールする必要がある | Windows 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視することができます。 評価の結果は、Azure Security Center で確認および管理できます。 | AuditIfNotExists、Disabled | 2.1.0-preview |
[プレビュー]: 仮想マシンでブート診断を有効にする必要がある | Azure 仮想マシンではブート診断を有効にする必要があります。 | Audit、Disabled | 1.0.0-preview |
[プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシンにインストールする必要がある | Linux 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシン スケール セットにインストールする必要がある | Linux 仮想マシンのスケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: ChangeTracking 拡張機能を Windows 仮想マシンにインストールする必要がある | Windows 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: ChangeTracking 拡張機能を Windows 仮想マシン スケール セットにインストールする必要がある | Windows 仮想マシンのスケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Center のファイル整合性監視 (FIM) を有効にします。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシン、場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: 仮想マシン上の Azure Defender for SQL エージェントを構成する | Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 特定のタグの付いた Azure Disks (Managed Disks) を、同じリージョン内の既存のバックアップ コンテナーにバックアップするように構成する | 特定のタグを含むすべての Azure Disk (Managed Disks) のバックアップを、中央のバックアップ コンテナーに対し実施します。 詳細については、https://aka.ms/AB-DiskBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: 特定のタグが付いていない Azure Disks (Managed Disks) を、同じリージョン内の既存のバックアップ コンテナーにバックアップするように構成する | 特定のタグを含まないすべての Azure Disk (Managed Disks) のバックアップを、中央のバックアップ コンテナーに対し実施します。 詳細については、https://aka.ms/AB-DiskBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Linux 仮想マシン スケール セット用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシン スケール セットを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Linux 仮想マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Windows 仮想マシン スケール セット用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows 仮想マシン スケール セットを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Windows 仮想マシン用に ChangeTracking 拡張機能を構成する | Azure Security Center でファイル整合性監視 (FIM) を有効にするために、ChangeTracking 拡張機能を自動的にインストールするように Windows 仮想マシンを構成します。 FIM は、攻撃を示す可能性のある変更について、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べます。 拡張機能は、Azure Monitor エージェントによってサポートされる仮想マシンおよび場所にインストールできます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux Virtual Machines を構成する | 指定したデータ収集ルールに Linux 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VM を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.5.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux VMSS を構成する | 指定したデータ収集ルールに Linux 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VMSS を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0-preview |
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する | サポートされている Linux 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 6.1.0-preview |
[プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、Disabled | 5.0.0 - プレビュー |
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 7.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する | サポートされている Linux 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 7.1.0-preview |
[プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 5.1.0-preview |
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する | Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ターゲット Windows 仮想マシン スケール セットは、サポートされている場所に存在する必要があります。 | DeployIfNotExists、Disabled | 2.1.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する | サポートされている Windows 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 4.1.0-preview |
[プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Windows 仮想マシンを構成する | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Windows 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、Disabled | 3.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシンを構成する | サポートされている Windows 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 5.1.0-preview |
[プレビュー]: システム割り当てマネージド ID を構成して、VM で Azure Monitor 割り当てを有効にする | Azure でホストされている仮想マシンのうち、Azure Monitor によってサポートされているものの、システム割り当てマネージド ID が与えられていない仮想マシンに、システム割り当てマネージド ID を構成します。 システム割り当てマネージド ID はすべての Azure Monitor 割り当ての前提条件であり、Azure Monitor 拡張機能を使用する前に、マシンに追加する必要があります。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | Modify、Disabled | 6.0.0-preview |
[プレビュー]: Shared Image Gallery イメージを使用して作成された VM を構成して、ゲスト構成証明の拡張機能をインストールする | Shared Image Gallery イメージを使用して作成された 仮想マシンを、ゲスト構成証明の拡張機能を自動的にインストールするように構成して、Azure Security Center でブートの整合性を積極的に認証、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[プレビュー]: Shared Image Gallery イメージを使用して作成された VMSS を構成して、ゲスト構成証明の拡張機能をインストールする | Shared Image Gallery イメージを使用して作成された VMSS を、ゲスト構成証明の拡張機能を自動的にインストールするように構成して、Azure Security Center でブートの整合性を積極的に認証、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 2.1.0-preview |
[プレビュー]: ローカル ユーザーを無効にするように Windows Server を構成する。 | Windows Server でローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 このポリシーにより、AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Windows Server に確実にアクセスできるようになるため、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows Virtual Machines を構成する | 指定したデータ収集ルールに Windows 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VM を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows VMSS を構成する | 指定したデータ収集ルールに Windows 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VMSS を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: Linux 仮想マシンに Microsoft Defender for Endpoint エージェントをデプロイする | 適用対象の Linux VM イメージに Microsoft Defender for Endpoint エージェントをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
[プレビュー]: Windows 仮想マシンに Microsoft Defender for Endpoint エージェントをデプロイする | 適用対象の Windows VM イメージに Microsoft Defender for Endpoint をデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[プレビュー]: SQL VM に対してシステム割り当て ID を有効にする | SQL 仮想マシンに対してシステム割り当て ID を大規模に有効にします。 サブスクリプション レベルでこのポリシーを割り当てる必要があります。 リソース グループ レベルで割り当てると、想定どおりに機能しません。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
[プレビュー]: Linux マシンは Docker ホスト向けの Azure セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホスト向けの Azure セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていません。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: OMI がインストールされている Linux マシンには、バージョン 1.6.8-1 以降が必要である | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloud によって、お客様が所有する 1 台以上の Linux マシンで信頼されていない OS ブート コンポーネントが特定されました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Linux 仮想マシンではセキュア ブートを使用する必要がある | マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
[プレビュー]: マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要がある | Azure の利用規約では、Microsoft サーバーまたはネットワークを破損、無効化、過大な過大、または損なう可能性のある方法で Azure サービスを使用することを禁止しています。 このレコメンデーションによって識別される公開ポートは、継続的なセキュリティのために閉じる必要があります。 特定されたポートごとに、レコメンデーションでは潜在的な脅威の説明も示します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Managed Disks をゾーン冗長にする必要がある | Managed Disks をゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーンが 1 つだけ割り当てられている Managed Disks は、ゾーン アラインされています。 ZRS で終わる SKU 名を持つ Managed Disks は、ゾーン冗長です。 このポリシーは、Managed Disks のこれらの回復性構成を識別して適用するのに役立ちます。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | Audit、Disabled | 4.0.0-preview |
[プレビュー]: Azure 仮想マシンで定期的な更新をスケジュール設定するための前提条件を設定する | このポリシーでは、パッチ オーケストレーションを "カスタマー マネージド スケジュール" に構成することで、Azure Update Manager で定期的な更新をスケジュールするために必要な前提条件を設定します。 この変更により、パッチ モードが自動的に "AutomaticByPlatform" に設定され、Azure VM で "BypassPlatformSafetyChecksOnUserSchedule" が "True" に設定されます。 前提条件は、Arc 対応サーバーには適用されません。 詳細情報 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists、Disabled | 1.1.0-preview |
[プレビュー]: Virtual Machine Scale Sets はゾーン回復性がある必要がある | Virtual Machine Scale Sets は、ゾーン アラインにも、ゾーン冗長にも、またはそのどちらでもないように構成できます。 ゾーン配列にエントリが 1 つのみ含まれている Virtual Machine Scale Sets は、ゾーン アラインと見なされます。 これに対し、ゾーン配列に 3 つ以上のエントリがあり、3 つ以上の容量を持つ Virtual Machine Scale Sets は、ゾーン冗長として認識されます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある | ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[プレビュー]: Virtual Machines はゾーンアラインにする必要がある | Virtual Machines の構成は、ゾーン冗長にすることも、しないこともできます。 ゾーン配列にエントリが 1 つしかない場合は、ゾーン アラインと見なされます。 このポリシーを使用すると、単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview |
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | Audit、Disabled | 2.0.0-preview |
[プレビュー]: Windows マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure コンピューティングの STIG コンプライアンス要件の推奨事項のいずれかについてマシンが正しく構成されていない場合、マシンは非準拠となります。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
許可されている仮想マシン サイズ SKU | このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 | 拒否 | 1.0.1 |
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定されたアプリケーションがインストールされていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定されたアプリケーションがインストールされている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
Linux の SSH セキュリティ態勢の監査 (powered by OSConfig) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) 上の SSH サーバー セキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
Windows マシンのネットワーク接続を監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
DSC 構成が準拠していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus から、マシンの DSC 構成が準拠していないという情報が返された場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたサービスがインストールされて '実行中' になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-Service の結果に、ポリシー パラメーターの指定と一致する状態のサービス名が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
Windows Serial Console が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
指定されたドメインに参加していない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたタイム ゾーンに設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
指定された Windows PowerShell 実行ポリシーのない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy によって、ポリシー パラメーターで選択された値以外の値が返された場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
指定された Windows PowerShell モジュールがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
指定されたアプリケーションがインストールされていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のどのレジストリ パスにも見つからない場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
Administrators グループに余分なアカウントがある Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定した日数以内に再起動されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
指定されたアプリケーションがインストールされている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が次のいずれかのレジストリ パスに見つかった場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
再起動が保留中の Windows VM の監査 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある | OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
Cloud Services (延長サポート) ロール インスタンスでは Endpoint Protection ソリューションがインストールされている必要がある | Endpoint Protection ソリューションがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスを脅威と脆弱性から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある | 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
すべてのリソースに対して無効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択された範囲 (サブスクリプションまたはリソース グループ) において、すべてのリソース (VM、VMSS、ARC マシン) に対して Defender for Servers プランが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
選択したタグのあるリソースに対して無効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択されたタグ名とタグ値が含まれるすべてのリソース (VM、VMSS、ARC マシン) に対して Defender for Servers プランが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
選択したタグのあるすべてのリソースに対して有効にする ('P1' サブプラン) ように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択されたタグ名とタグ値が含まれるすべてのリソース (VM と ARC マシン) に対して Defender for Servers プランが有効になります ('P1' サブプラン)。 | DeployIfNotExists、Disabled | 1.0.0 |
('P1' サブプランで) すべてのリソースに対して有効にするように Azure Defender for Servers を構成する (リソース レベル) | Azure Defender for Servers では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 このポリシーでは、選択された範囲 (サブスクリプションまたはリソース グループ) において、すべてのリソース (VM と ARC マシン) に対して Defender for Servers プランが有効になります ('P1' サブプランで)。 | DeployIfNotExists、Disabled | 1.0.0 |
特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
Azure Site Recovery を使用してレプリケーションを有効にし、仮想マシンでのディザスター リカバリーを構成する | ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含める/除外することができます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | DeployIfNotExists、Disabled | 2.1.0 |
プライベート エンドポイントを使用してディスク アクセス リソースを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをディスク アクセス リソースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Linux マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 6.5.1 |
ローカル ユーザーを無効にするように Linux サーバーを構成する。 | Linux サーバーでローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 これにより、このポリシーでは AAD (Azure Active Directory) アカウントまたは明示的に許可されたユーザーの一覧のみが Linux サーバーにアクセスできるようになり、全体的なセキュリティ態勢が向上します。 | DeployIfNotExists、Disabled | 1.3.0-preview |
Linux 仮想マシン スケール セットを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.4.1 |
システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.6.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.8.0 |
Linux Virtual Machines を構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.4.1 |
システム割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.6.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Linux 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.8.0 |
脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する | マネージド ディスク リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Modify、Disabled | 2.0.0 |
Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する | ネイティブの Azure 仮想マシンで、OS の更新の自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | 変更 | 4.8.0 |
Windows マシンにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する | Windows マシンにセキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当てを作成します。 | DeployIfNotExists、Disabled | 1.0.1 |
Azure Monitor エージェントを自動的にインストールするように SQL Virtual Machines を構成する | Windows SQL Virtual Machines への Azure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.5.0 |
Microsoft Defender for SQL を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL 拡張機能を自動的にインストールするように、Windows SQL Virtual Machines を構成します。 Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.5.0 |
Linux の SSH セキュリティ態勢を設定 (powered by OSConfig) | このポリシーでは、Linux マシン (Azure VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を監査および構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
Windows マシンでタイム ゾーンを構成する。 | このポリシーは、指定されたタイム ゾーンを Windows 仮想マシンに設定するためのゲスト構成の割り当てを作成します。 | deployIfNotExists | 2.1.0 |
Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、選択したスコープに自動管理を適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
カスタム構成プロファイルを使用して Azure Automanage にオンボードするように仮想マシンを構成する | Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
Windows マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.5.1 |
Windows 仮想マシン スケール セットを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.3.1 |
システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシン スケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.4.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンのスケール セットを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシン スケール セットで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.6.0 |
Windows Virtual Machines を構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Windows 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.3.1 |
システム割り当てマネージド ID を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 4.4.0 |
ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行するように Windows 仮想マシンを構成する | ゲスト OS からテレメトリ データを収集するために、Windows 仮想マシンで Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.6.0 |
組み込みのユーザー割り当てマネージド ID を作成して割り当てる | 組み込みのユーザー割り当てマネージド ID の作成と SQL 仮想マシンへの割り当てを大規模に行います。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.7.0 |
一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 3.2.0 |
デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 | DeployIfNotExists、Disabled | 3.2.0 |
デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
デプロイ - Log Analytics 拡張機能を Windows 仮想マシンで有効になるように構成する | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります。 | DeployIfNotExists、Disabled | 3.1.0 |
Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ | このポリシーでは、VM にマルウェア対策の拡張機能が構成されていない場合に、既定の構成で Microsoft IaaSAntimalware 拡張機能をデプロイします。 | deployIfNotExists | 1.1.0 |
Linux Virtual Machine Scale Sets 用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | deployIfNotExists | 5.1.0 |
Azure Monitoring Agent 設定を使用して Linux 仮想マシン スケール セット用の依存関係エージェントをデプロイする | 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | DeployIfNotExists、Disabled | 3.2.0 |
Linux 仮想マシン用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux 仮想マシン用にエージェントをデプロイします。 | deployIfNotExists | 5.1.0 |
Azure Monitoring Agent 設定を使用して Linux 仮想マシン用の Dependency Agent をデプロイする | 定義されている一覧に VM イメージ (OS) があり、Linux 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 | DeployIfNotExists、Disabled | 3.2.0 |
Azure Monitoring Agent 設定を使用して Windows 仮想マシン スケール セットで有効にする依存関係エージェントをデプロイする | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 1.3.0 |
Azure Monitoring Agent 設定を使用して Windows 仮想マシンで有効にする依存関係エージェントをデプロイする | 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Dependency Agent がインストールされていない場合は、そのエージェントを Azure Monitoring Agent 設定を使用してデプロイします。 | DeployIfNotExists、Disabled | 1.3.0 |
Linux 仮想マシン スケール セット用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 | 定義された一覧に VM イメージ (OS) があり、Log Analytics 拡張機能がインストールされていない場合は、Linux Virtual Machine Scale Sets 用に拡張機能をデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 非推奨の通知: Log Analytics エージェントは、2024 年 8 月 31 日以降はサポートされません。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | deployIfNotExists | 3.0.0 |
Linux VM 用の Log Analytics 拡張機能をデプロイします。 下記の非推奨の通知を参照してください。 | 定義されている一覧に VM イメージ (OS) があり、この Linux VM 用の Log Analytics 拡張機能がインストールされていない場合は、その拡張機能をデプロイします。 非推奨の通知: Log Analytics エージェントは廃止予定で、2024 年 8 月 31 日を過ぎるとサポートされなくなります。 その日付より前に、代替の "Azure Monitor エージェント" に移行する必要があります | deployIfNotExists | 3.0.0 |
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
ディスクと OS イメージで TrustedLaunch をサポートする必要があります | TrustedLaunch は、OS ディスクと OS イメージを必要とする仮想マシンのセキュリティを向上させます(Gen 2)。 TrustedLaunch の詳細については、https://aka.ms/trustedlaunch にアクセスします | Audit、Disabled | 1.0.0 |
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 | AuditIfNotExists、Disabled | 1.0.0 |
エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
Windows Server Azure Edition の VM に対してホットパッチを有効にする必要がある | ホットパッチを使用して、再起動を最小限に抑え、更新プログラムをすばやくインストールします。 詳細については、https://docs.microsoft.com/azure/automanage/automanage-hotpatch を参照してください | Audit、Deny、Disabled | 1.0.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux 仮想マシン スケール セットには Azure Monitor エージェントがインストールされている必要がある | Linux 仮想マシン スケール セットは、デプロイされた Azure Monitor Agent を使用して監視して保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシン スケール セットを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.3.0 |
Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.1 |
Linux 仮想マシンには Azure Monitor エージェントがインストールされている必要がある | Linux 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.3.0 |
Linux マシンでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Linux サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.2.0-preview |
Windows サーバーでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Windows サーバーにアクセスできるのが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧のみであり、それによって、全体的なセキュリティ態勢が向上していることを検証するためのものです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
Log Analytics エージェントを Cloud Services (延長サポート) ロール インスタンスにインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 | AuditIfNotExists、Disabled | 2.0.0 |
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 AssessmentMode プロパティの詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.7.0 |
マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Audit、Disabled | 2.0.0 |
マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 2.0.0 |
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 3.0.0 |
ゲスト構成の割り当てのプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、仮想マシンのゲスト構成へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 "EnablePrivateNetworkGC" タグが割り当てられていない仮想マシンはコンプライアンス違反となります。 このタグにより、仮想マシンのゲスト構成に対して、プライベート接続によるセキュリティで保護された通信が適用されます。 プライベート接続では、既知のネットワークを送信元とするトラフィックにアクセスが限定され、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスが禁止されます。 | Audit、Deny、Disabled | 1.1.0 |
ディスクまたはスナップショットにエクスポートまたはアップロードするときに、認証要件を使用してデータを保護します。 | エクスポート/アップロード URL を使用すると、ユーザーが Azure Active Directory に ID を持ち、データをエクスポート/アップロードするために必要なアクセス許可を持っているかどうかを確認します。 aka.ms/DisksAzureADAuth を参照してください。 | Modify、Disabled | 1.0.0 |
Virtual Machine Scale Sets で自動 OS イメージ パッチ適用が必要 | このポリシーは、Virtual Machine Scale Sets での自動 OS イメージ パッチ適用を有効にし、最新のセキュリティ修正プログラムを毎月安全に適用することによって、常に Virtual Machines を保護します。 | deny | 1.0.0 |
Azure Update Manager を使用して定期的な更新をスケジュールする | Azure Update Manager を使用すると、Azure、オンプレミス環境、Azure Arc 対応サーバーを使用して接続されている他のクラウド環境に、Windows Server および Linux マシン用のオペレーティング システム更新プログラムをインストールするために、定期的なデプロイ スケジュールを保存できます。 また、このポリシーでは、Azure 仮想マシンのパッチ モードが "AutomaticByPlatform" に変更されます。 詳細情報: https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.12.0 |
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.1 |
レガシ Log Analytics 拡張機能を Linux 仮想マシン スケール セットにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
レガシ Log Analytics 拡張機能を Linux 仮想マシンにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
レガシ Log Analytics 拡張機能を仮想マシン スケール セットにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Windows 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
レガシ Log Analytics 拡張機能を仮想マシンにインストールしてはならない | レガシ エージェントから Azure Monitor エージェントに移行する最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に禁止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Windows 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の Virtual Machine Scale Sets を監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
仮想マシンで TrustedLaunch を有効にする必要があります | 仮想マシンで TrustedLaunch を有効にしてセキュリティを強化します。TrustedLaunch をサポートする VM SKU (Gen 2) を使用します。 TrustedLaunch の詳細については、https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch にアクセスします | Audit、Disabled | 1.0.0 |
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
仮想マシンは、指定されたワークスペースに接続する必要がある | ポリシーまたはイニシアティブ割り当てで指定されている Log Analytics ワークスペースに仮想マシンがログを記録していない場合、それらを非準拠として報告します。 | AuditIfNotExists、Disabled | 1.1.0 |
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある | 新たに現れるマルウェアから適切に保護するには、新たに現れたマルウェアを考慮するために、Windows Defender 保護署名を定期的に更新する必要があります。 このポリシーは Arc 接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある | 新たに現れるマルウェアから適切に保護するために、Windows マシンで Windows Defender のリアルタイム保護を有効にする必要があります。 このポリシーは Arc 接続されているサーバーには適用できず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンは [管理用テンプレート - コントロール パネル] の要件を満たしている必要がある | Windows マシンには、入力の個人用設定とロック画面の有効化防止について、カテゴリ [管理用テンプレート - コントロール パネル] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - MSS (レガシ)] の要件を満たしている必要がある | Windows マシンには、自動ログオン、スクリーン セーバー、ネットワークの動作、安全な DLL、イベント ログについて、カテゴリ [管理用テンプレート - MSS (レガシ)] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - ネットワーク] の要件を満たしている必要がある | Windows マシンには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決について、カテゴリ [管理用テンプレート - ネットワーク] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [管理用テンプレート - システム] の要件を満たしている必要がある | Windows マシンには、管理エクスペリエンスおよび Remote Assist を制御する設定について、カテゴリ [管理用テンプレート - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | Windows コンピューターでは、空白のパスワードとゲスト アカウント状態でのローカル アカウントの使用を制限するため、[セキュリティ オプション - アカウント] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | Windows マシンには、セキュリティ監査をログに記録できない場合に監査ポリシー サブカテゴリを強制的に適用してシャットダウンすることについて、カテゴリ [セキュリティ オプション - 監査] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - デバイス] の要件を満たしている必要がある | Windows マシンには、ログオンなしのドッキング解除、プリント ドライバーのインストール、メディアのフォーマットと取り出しについて、カテゴリ [セキュリティ オプション - デバイス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク クライアント] の要件を満たしている必要がある | Windows コンピューターには、Microsoft ネットワーク クライアントおよび SMB v1 について、カテゴリ [セキュリティ オプション - Microsoft ネットワーク クライアント] で設定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | Windows コンピューターでは、SMB v1 サーバーを無効にするため、[セキュリティ オプション - Microsoft ネットワーク サーバー] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | Windows マシンには、匿名ユーザーやローカル アカウントへのアクセスと、レジストリへのリモート アクセスを含むことについて、カテゴリ [セキュリティ オプション - ネットワーク アクセス] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | すべてのドライブおよびフォルダーのフロッピー コピーとアクセスを可能にするため、[セキュリティ オプション - 回復コンソール] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - シャットダウン] の要件を満たしている必要がある | Windows マシンには、ログオンなしのシャットダウンと仮想マシン ページファイルのクリアについて、カテゴリ [セキュリティ オプション - シャットダウン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - システム オブジェクト] の要件を満たしている必要がある | Windows マシンには、Windows システムではないサブシステムのための大文字と小文字の区別をしないこと、および内部システム オブジェクトのアクセス許可について、カテゴリ [セキュリティ オプション - システム オブジェクト] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - システム設定] の要件を満たしている必要がある | Windows マシンには、SRP およびオプションのサブシステム用の実行可能ファイルに関する証明書の規則について、カテゴリ [セキュリティ オプション - システム設定] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | Windows マシンには、管理者用のモード、昇格時のプロンプトの動作、ファイル仮想化とレジストリ書き込みのエラーについて、カテゴリ [セキュリティ オプション - ユーザー アカウント制御] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | Windows マシンには、パスワードの履歴、有効期間、長さ、複雑さ、暗号化を元に戻せる状態での保存について、カテゴリ [セキュリティ オプション - アカウント ポリシー] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - アカウント ログオン] の要件を満たしている必要がある | Windows マシンには、資格情報の検証およびその他のアカウント ログオン イベントの監査について、カテゴリ [システム監査ポリシー - アカウント ログオン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | Windows マシンには、アプリケーション、セキュリティ、ユーザー グループ管理、その他の管理イベントを監査することについて、カテゴリ [システム監査ポリシー - アカウント管理] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | Windows マシンには、DPAPI、プロセスの作成と終了、RPC イベント、PNP アクティビティを監査することについて、カテゴリ [システム監査ポリシー - 詳細追跡] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - ログオン/ログオフ] の要件を満たしている必要がある | Windows マシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオンとログオンのイベントの監査について、カテゴリ [システム監査ポリシー - ログオン/ログオフ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - オブジェクト アクセス] の要件を満たしている必要がある | Windows マシンには、ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、その他の種類のシステムに関する監査について、カテゴリ [システム監査ポリシー - オブジェクト アクセス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | Windows マシンには、システム監査ポリシーの監査について、カテゴリ [システム監査ポリシー - ポリシーの変更] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | Windows マシンには、重要でない特権およびその他の特権の使用に関する監査について、カテゴリ [システム監査ポリシー - 特権の使用] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [システム監査ポリシー - システム] の要件を満たしている必要がある | Windows マシンには、IPsec ドライバー、システムの整合性、システム拡張、状態変更、その他のシステム イベントの監査について、カテゴリ [システム監査ポリシー - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | ローカル ログオン、RDP、ネットワークからのアクセス、その他多くのユーザー アクティビティを許可するため、Windows マシンでは、[ユーザー権利の割り当て] カテゴリに指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [Windows コンポーネント] の要件を満たしている必要がある | Windows マシンには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、Windows のその他の動作について、カテゴリ [Windows コンポーネント] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 および 2012 R2 ではサポートされていません。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows 仮想マシン スケール セットに Azure Monitor エージェントがインストールされている必要がある | Window 仮想マシン スケール セットは、デプロイされた Azure Monitor Agent を使用して監視して保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS を備えた仮想マシン スケール セットとサポートされているリージョンで、Azure Monitor エージェントのデプロイが監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.1.1 |
Windows 仮想マシンに Azure Monitor エージェントがインストールされている必要がある | Windows 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティで保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS およびサポートされているリージョンの Windows 仮想マシンは、Windows Azure Monitor エージェントのデプロイが監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
Microsoft.VirtualMachineImages
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
Microsoft.ClassicCompute
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 | AuditIfNotExists、Disabled | 1.0.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。