Azure Virtual Network 用の Azure Policy 組み込み定義
このページは、Azure Virtual Network 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。
各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
Azure Virtual Network
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: コンテナー レジストリは仮想ネットワーク サービス エンドポイントを使う必要がある | このポリシーでは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのコンテナー レジストリを監査します。 | Audit、Disabled | 1.0.0-preview |
| カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要があります | このポリシーでは、すべての Azure 仮想ネットワーク ゲートウェイ接続がカスタム インターネット プロトコル セキュリティ (Ipsec) またはインターネット キー交換 (IKE) ポリシーを使用することを確認します。 サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください | Audit、Disabled | 1.0.0 |
| すべてのフロー ログ リソースは有効な状態にする必要がある | フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、流れている IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure 仮想ネットワークと選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure ファイアウォール ポリシーではアプリケーション ルール内で TLS 検査を有効にする必要がある | HTTPS で悪意のあるアクティビティの検出、アラート通知、軽減を行うために、すべてのアプリケーション ルールで TLS 検査を有効にすることをお勧めします。 Azure Firewall を使用した TLS 検査の詳細については、https://aka.ms/fw-tlsinspect にアクセスしてください | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall Premium で、TLS 検査を有効にするために有効な中間証明書を構成する必要がある | 有効な中間証明書を構成し、Azure Firewall Premium TLS 検査を有効にして、HTTPS の悪意のあるアクティビティを検出し、警告し、軽減します。 Azure Firewall を使用した TLS 検査の詳細については、https://aka.ms/fw-tlsinspect にアクセスしてください | Audit、Deny、Disabled | 1.0.0 |
| Azure VPN ゲートウェイで 'Basic' SKU を使用しないでください | このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。 | Audit、Disabled | 1.0.0 |
| Azure Application Gateway の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Application Gateway に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Front Door に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Firewall Policy Premium で、侵入検出および防止システム (IDPS) のバイパス一覧を空にする必要がある | 侵入検出および防止システム (IDPS) バイパス一覧を使用すると、バイパス一覧に指定された IP アドレス、範囲、サブネットへのトラフィックをフィルター処理しないようにすることができます。 ただし、既知の脅威をより適切に特定するために、すべてのトラフィック フローに対して IDPS を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、https://aka.ms/fw-idps-signature を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Azure ネットワーク セキュリティ グループの診断設定を Log Analytics ワークスペースに構成する | Azure ネットワーク セキュリティ グループのリソース ログを Log Analytics ワークスペースにストリーミングする診断設定をデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
| トラフィック分析を有効にするためにネットワーク セキュリティ グループを構成する | トラフィック分析は、ポリシーの作成時に指定された設定を使用して、特定のリージョンでホストされているすべてのネットワーク セキュリティ グループに対して有効にできます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 それを持たないネットワーク セキュリティ グループでは、フロー ログも有効化されます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| トラフィック分析に特定のワークスペース、ストレージ アカウント、フローログ保持ポリシーを使用するようにネットワーク セキュリティ グループを構成する | トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| トラフィック分析を有効にするように仮想ネットワークを構成する | Traffic Analytics は、ポリシー作成時に指定された設定を使用して、特定のリージョンでホストされているすべての仮想ネットワークに対して有効にすることができます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 フロー ログは、それが含まれていない仮想ネットワークに対しても有効になっています。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.0.0 |
| トラフィック分析に特定のワークスペース、ストレージ アカウント、フローログ保持ポリシーを使用するように仮想ネットワークを構成する | トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.0.0 |
| Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。 | Audit、Disabled | 1.0.0 |
| ターゲット ネットワーク セキュリティ グループを使用してフロー ログ リソースをデプロイする | 特定のネットワーク セキュリティ グループのフロー ログを構成します。 ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | deployIfNotExists | 1.1.0 |
| ターゲット仮想ネットワークを使用してフロー ログ リソースをデプロイする | 特定の仮想ネットワークのフロー ログを構成します。 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | DeployIfNotExists、Disabled | 1.0.0 |
| 仮想ネットワーク作成時の Network Watcher のデプロイ | このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。 Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。 | DeployIfNotExists | 1.0.0 |
| レート制限規則を有効にして、Azure Front Door WAF への DDoS 攻撃から保護する | Azure Front Door 用の Azure Web Application Firewall (WAF) のレート制限規則によって、レート制限期間に特定のクライアント IP アドレスからアプリケーションに送信できる要求数が制御されます。 | Audit、Deny、Disabled | 1.0.0 |
| イベント ハブは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのイベント ハブを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Firewall Policy Premium で、すべての IDPS シグネチャ ルールを有効にして、すべての受信および送信トラフィック フローを監視する必要がある | トラフィック フロー内の既知の脅威をより適切に識別するために、すべての侵入検出および防止システム (IDPS) 署名規則を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、https://aka.ms/fw-idps-signature を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Firewall Policy Premium で、侵入検出および防止システム (IDPS) を有効にする必要がある | 侵入検出および防止システム (IDPS) を有効にすると、ネットワークを監視して悪意のあるアクティビティがないか確認し、このアクティビティに関する情報をログに記録し、それを報告して、必要に応じてそのブロックを試みることができます。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) の詳細については、https://aka.ms/fw-idps を参照してください | Audit、Deny、Disabled | 1.0.0 |
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.1.0 |
| すべての仮想ネットワークに対してフロー ログを構成する必要がある | 仮想ネットワークを監査して、フロー ログが構成されているかどうかを検証します。 フロー ログを有効にすると、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.0 |
| ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。 ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。 | deny | 1.0.0 |
| Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 | Audit、Disabled | 1.0.0 |
| Application Gateway で WAF 構成から WAF ポリシーに WAF を移行する | WAF ポリシーではなく WAF 構成がある場合は、新しい WAF ポリシーに移行できます。 今後、ファイアウォール ポリシーでは、WAF ポリシーの設定、マネージド ルール セット、除外、無効になっているルール グループがサポートされます。 | Audit、Deny、Disabled | 1.0.0 |
| ネットワーク インターフェイスで IP 転送を無効にする | このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。 IP 転送の設定により、Azure によるネットワーク インターフェイスの送信元と送信先のチェックが無効になります。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| ネットワーク インターフェイスにはパブリック IP を設定できない | このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| Network Watcher のフロー ログではトラフィック分析を有効にする必要がある | Traffic Analytics ではフロー ログを分析して、Azure クラウドのトラフィック フローに対する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの誤った構成などを特定することができます。 | Audit、Disabled | 1.0.1 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
| 追加の保護レイヤーを提供するために、サブスクリプションで Azure Firewall Premium を構成する必要がある | Azure Firewall Premium により、機密性が高く、規制された環境のニーズを満たす高度な脅威保護が提供されます。 Azure Firewall Premium をサブスクリプションにデプロイし、すべてのサービス トラフィックが Azure Firewall Premium によって保護されていることを確認します。 Azure Firewall Premium の詳細については、https://aka.ms/fw-premium を参照してください | AuditIfNotExists、Disabled | 1.0.0 |
| 仮想マシンは、承認された仮想ネットワークに接続する必要があります | このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。 | Audit、Deny、Disabled | 1.0.0 |
| 仮想ネットワークを Azure DDoS Protection Standard によって保護する必要がある | Azure DDoS Protection Standard を使用して、仮想ネットワークを帯域幅消費およびプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 | Modify、Audit、Disabled | 1.0.0 |
| 仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります | このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細は https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant で確認してください | Audit、Deny、Disabled | 1.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Web Application Firewall (WAF) では、Application Gateway のすべてのファイアウォール規則を有効にする必要がある | すべての Web Application Firewall (WAF) ルールを有効にすると、アプリケーションのセキュリティが強化され、Web アプリケーションが一般的な脆弱性から保護されます。 Application Gateway での Web Application Firewall (WAF) の詳細については、https://aka.ms/waf-ag を参照してください | Audit、Deny、Disabled | 1.0.1 |
| Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。 | Audit、Deny、Disabled | 1.0.0 |
| Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。 | Audit、Deny、Disabled | 1.0.0 |
タグ
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リソース グループにタグを追加する | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| リソースにタグを追加する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 リソース グループのタグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションにタグを追加する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加します。 タグに異なる値が含まれている場合、タグは変更されません。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | 変更 | 1.0.0 |
| リソース グループのタグを追加または置換する | 任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 | 変更 | 1.0.0 |
| リソースのタグを追加または置換する | 任意のリソースが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 リソース グループのタグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションのタグを追加または置換する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | 変更 | 1.0.0 |
| タグとその値をリソース グループから追加 | このタグがない任意のリソースが作成または更新されたときに、リソース グループの指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.0 |
| タグとその値のリソース グループへの追加 | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソース グループが変更されるまで、このポリシーが適用される前に作成されたリソース グループのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.0 |
| タグとその値をリソースに追加する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 リソース グループには適用されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | append | 1.0.1 |
| リソース グループからタグを継承する | 任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 | 変更 | 1.0.0 |
| 存在しない場合は、リソース グループからタグを継承する | このタグがない任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| サブスクリプションからタグを継承する | 任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 | 変更 | 1.0.0 |
| 存在しない場合は、サブスクリプションからタグを継承する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | 変更 | 1.0.0 |
| リソース グループでタグとその値を必須にする | リソース グループで必要なタグとその値を強制します。 | deny | 1.0.0 |
| タグとその値がリソースに必要 | 必要なタグとその値を強制的に適用します。 リソース グループには適用されません。 | deny | 1.0.1 |
| リソース グループでタグを必須にする | リソース グループでタグの存在を強制します。 | deny | 1.0.0 |
| リソースでタグを必須にする | タグの存在を強制します。 リソース グループには適用されません。 | deny | 1.0.1 |
| リソースに特定のタグがないようにする必要があります。 | 指定されたタグを含むリソースの作成を拒否します。 リソース グループには適用されません。 | Audit、Deny、Disabled | 2.0.0 |
全般
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: リソースの種類の削除を許可しない | このポリシーを使用すると、組織が deny アクションの効果を利用して delete 呼び出しをブロックすることで誤削除を防止するリソースの種類を指定できます。 | DenyAction、Disabled | 1.0.0-preview |
| 許可される場所 | このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 | deny | 1.0.0 |
| リソース グループが許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | deny | 1.0.0 |
| 許可されるリソースの種類 | このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 | deny | 1.0.0 |
| リソースの場所がリソース グループの場所と一致することの監査 | リソースの場所がそのリソース グループの場所と一致することを監査します | 監査 | 2.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| プレビュー機能を設定するようにサブスクリプションを構成する | このポリシーは、既存のサブスクリプションのプレビュー機能を評価します。 サブスクリプションを修復して、新しいプレビュー機能に登録できます。 新しいサブスクリプションは自動的に登録されません。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| M365 リソースを許可しない | M365 リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| MCPP リソースを許可しない | MCPP リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| 使用コストのリソースを除外する | このポリシーを使用すると、使用量コストリソースを除外できます。 使用コストには、使用状況に基づいて課金される従量制課金ストレージや Azure リソースなどが含まれます。 | Audit、Deny、Disabled | 1.0.0 |
| 許可されないリソースの種類 | 環境にデプロイできるリソースの種類を制限します。 リソースの種類を制限することで、環境の複雑さと攻撃対象領域を削減しつつ、コストの管理にも役立てるとができます。 コンプライアンス対応の結果は、準拠していないリソースについてのみ表示されます。 | Audit、Deny、Disabled | 2.0.0 |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。