Ingebouwde Azure Policy-definities voor Azure Virtual Network
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Virtual Network. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Virtual Network
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
| [Preview]: Container Registry moet een service-eindpunt voor een virtueel netwerk gebruiken | Met dit beleid worden alle exemplaren van Container Registry gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0-preview |
| Er moet een aangepast IPSec/IKE-beleid worden toegepast op alle gatewayverbindingen met virtuele Azure-netwerken | Dit beleid zorgt ervoor dat alle gatewayverbindingen met virtuele Azure-netwerken een aangepast IPSec/IKE-beleid hebben (Internet Protocol Security/Internet Key Exchange). Ondersteunde algoritmen en sleutelsterkten: https://aka.ms/AA62kb0 | Controle, uitgeschakeld | 1.0.0 |
| Alle resources voor stroomlogboeken moeten de status Ingeschakeld hebben | Controleer of stroomlogboekbronnen zijn ingeschakeld om te controleren of de status van het stroomlogboek is ingeschakeld. Als u stroomlogboeken inschakelt, kunt u logboekinformatie over HET IP-verkeer vastleggen. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer. | Controle, uitgeschakeld | 1.0.1 |
| App Service-apps moeten een service-eindpunt voor een virtueel netwerk gebruiken | Gebruik service-eindpunten voor virtuele netwerken om de toegang tot uw app te beperken vanuit geselecteerde subnetten van een virtueel Azure-netwerk. Ga voor meer informatie over App Service-service-eindpunten naar https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Configuratie van stroomlogboeken voor elk virtueel netwerk controleren | Controleer of stroomlogboeken zijn geconfigureerd voor een virtueel netwerk. Als u stroomlogboeken inschakelt, kunt u informatie vastleggen over IP-verkeer dat via een virtueel netwerk stroomt. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer. | Controle, uitgeschakeld | 1.0.1 |
| Azure-toepassing Gateway moet worden geïmplementeerd met Azure WAF | Hiervoor moeten Azure-toepassing Gateway-resources worden geïmplementeerd met Azure WAF. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Firewall-beleid moet TLS-inspectie inschakelen binnen toepassingsregels | Het inschakelen van TLS-inspectie wordt aanbevolen voor alle toepassingsregels voor het detecteren, waarschuwen en beperken van schadelijke activiteiten in HTTPS. Ga voor meer informatie over TLS-inspectie met Azure Firewall naar https://aka.ms/fw-tlsinspect | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Firewall Premium moet een geldig tussencertificaat configureren om TLS-inspectie in te schakelen | Configureer een geldig tussenliggend certificaat en schakel Azure Firewall Premium TLS-inspectie in om schadelijke activiteiten in HTTPS te detecteren, waarschuwen en beperken. Ga voor meer informatie over TLS-inspectie met Azure Firewall naar https://aka.ms/fw-tlsinspect | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure-VPN-gateways mogen geen Basic-SKU's gebruiken | Dit beleid zorgt ervoor dat VPN-gateways geen Basic-SKU's gebruiken. | Controle, uitgeschakeld | 1.0.0 |
| Azure Web Application Firewall op Azure-toepassing Gateway moet de controle van de hoofdtekst van de aanvraag hebben ingeschakeld | Zorg ervoor dat Web Application Firewalls die zijn gekoppeld aan Azure-toepassing-gateways de controle van de aanvraagbody hebben ingeschakeld. Hierdoor kan de WAF eigenschappen in de HTTP-hoofdtekst inspecteren die mogelijk niet worden geëvalueerd in de HTTP-headers, cookies of URI. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Web Application Firewall in Azure Front Door moet de controle van de aanvraagbody zijn ingeschakeld | Zorg ervoor dat Web Application Firewalls die zijn gekoppeld aan Azure Front Doors de inspectie van de aanvraagbody hebben ingeschakeld. Hierdoor kan de WAF eigenschappen in de HTTP-hoofdtekst inspecteren die mogelijk niet worden geëvalueerd in de HTTP-headers, cookies of URI. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Bot Protection moet zijn ingeschakeld voor Azure-toepassing Gateway WAF | Dit beleid zorgt ervoor dat botbeveiliging is ingeschakeld in alle WAF-beleidsregels (Web Application Firewall) van Azure-toepassing Gateway | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Bot Protection moet zijn ingeschakeld voor Azure Front Door WAF | Dit beleid zorgt ervoor dat botbeveiliging is ingeschakeld in alle WAF-beleidsregels (Azure Front Door Web Application Firewall) | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Bypass list of Intrusion Detection and Prevention System (IDPS) moet leeg zijn in Firewall Policy Premium | Met de bypasslijst voor inbraakdetectie en -preventie (IDPS) kunt u verkeer niet filteren op een van de IP-adressen, bereiken en subnetten die zijn opgegeven in de bypasslijst. Het inschakelen van IDPS wordt echter opnieuw aanbevolen voor alle verkeersstromen om bekende bedreigingen beter te identificeren. Voor meer informatie over de handtekeningen van het inbraakdetectie- en preventiesysteem (IDPS) met Azure Firewall Premium, gaat u naar https://aka.ms/fw-idps-signature | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Diagnostische instellingen configureren voor Azure-netwerkbeveiligingsgroepen naar Log Analytics-werkruimte | Implementeer diagnostische instellingen in Azure-netwerkbeveiligingsgroepen om resourcelogboeken naar een Log Analytics-werkruimte te streamen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Netwerkbeveiligingsgroepen configureren om traffic analytics in te schakelen | Traffic Analytics kan worden ingeschakeld voor alle netwerkbeveiligingsgroepen die worden gehost in een bepaalde regio met de instellingen die tijdens het maken van het beleid zijn opgegeven. Als Traffic Analytics al is ingeschakeld, worden de instellingen van het beleid niet overschreven. Stroomlogboeken zijn ook ingeschakeld voor de netwerkbeveiligingsgroepen die deze niet hebben. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Netwerkbeveiligingsgroepen configureren voor het gebruik van specifieke werkruimte, opslagaccount en retentiebeleid voor stroomlogboeken voor verkeersanalyse | Als traffic analytics al is ingeschakeld, overschrijft het beleid de bestaande instellingen met de instellingen die zijn opgegeven tijdens het maken van het beleid. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Virtueel netwerk configureren om Stroomlogboek en Traffic Analytics in te schakelen | Verkeersanalyse- en stroomlogboeken kunnen worden ingeschakeld voor alle virtuele netwerken die in een bepaalde regio worden gehost met de instellingen die tijdens het maken van het beleid worden geleverd. Dit beleid overschrijft de huidige instelling niet voor virtuele netwerken waarvoor deze functie al is ingeschakeld. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.1.1 |
| Virtuele netwerken configureren voor het afdwingen van werkruimte, opslagaccount en retentie-interval voor stroomlogboeken en Traffic Analytics | Als verkeeranalyse al is ingeschakeld voor een virtueel netwerk, overschrijft dit beleid de bestaande instellingen met de instellingen die tijdens het maken van het beleid zijn opgegeven. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.1.2 |
| Cosmos DB moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Met dit beleid worden alle exemplaren van Cosmos DB gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0 |
| Een resource voor een stroomlogboek met een netwerkbeveiligingsgroep implementeren | Hiermee configureert u het stroomlogboek voor een specifieke netwerkbeveiligingsgroep. Hiermee kan informatie over de IP-verkeersstroom in een netwerkbeveiligingsgroep worden geregistreerd in een logboek. Met een stroomlogboek kunt u onbekend of ongewenste verkeer identificeren, de netwerkisolatie en naleving van regels voor bedrijfstoegang controleren en netwerkstromen van gecompromitteerde IP-adressen en netwerkinterfaces analyseren. | deployIfNotExists | 1.1.0 |
| Een stroomlogboekresource implementeren met een virtueel doelnetwerk | Hiermee configureert u het stroomlogboek voor een specifiek virtueel netwerk. Hiermee kunt u informatie vastleggen over IP-verkeer dat via een virtueel netwerk stroomt. Met een stroomlogboek kunt u onbekend of ongewenste verkeer identificeren, de netwerkisolatie en naleving van regels voor bedrijfstoegang controleren en netwerkstromen van gecompromitteerde IP-adressen en netwerkinterfaces analyseren. | DeployIfNotExists, uitgeschakeld | 1.1.1 |
| Network Watcher implementeren wanneer er virtuele netwerken worden gemaakt | Met dit beleid wordt een Network Watcher-resource gemaakt in regio's met virtuele netwerken. U moet ervoor zorgen dat een resourcegroep met de naam networkWatcherRG bestaat, die wordt gebruikt voor het implementeren van exemplaren van Network Watcher. | DeployIfNotExists | 1.0.0 |
| Frequentielimietregel inschakelen om te beveiligen tegen DDoS-aanvallen in Azure Front Door WAF | De frequentielimietregel van Azure Web Application Firewall (WAF) voor Azure Front Door bepaalt het aantal aanvragen dat is toegestaan vanaf een bepaald client-IP-adres voor de toepassing tijdens een duur van de frequentielimiet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Event Hub moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Met dit beleid worden alle instanties van Event Hub gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Firewall Policy Premium moet alle IDPS-handtekeningregels inschakelen om alle binnenkomende en uitgaande verkeersstromen te bewaken | Het inschakelen van alle handtekeningregels voor inbraakdetectie en -preventie (IDPS) wordt opnieuw aanbevolen om bekende bedreigingen in de verkeersstromen beter te identificeren. Voor meer informatie over de handtekeningen van het inbraakdetectie- en preventiesysteem (IDPS) met Azure Firewall Premium, gaat u naar https://aka.ms/fw-idps-signature | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Firewall Policy Premium moet het inbraakdetectie- en preventiesysteem (IDPS) inschakelen | Als u het inbraakdetectie- en preventiesysteem (IDPS) inschakelt, kunt u uw netwerk controleren op schadelijke activiteiten, informatie over deze activiteit vastleggen, rapporteren en eventueel proberen het te blokkeren. Ga voor meer informatie over het Inbraakdetectie- en preventiesysteem (IDPS) met Azure Firewall Premium naar https://aka.ms/fw-idps | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Stroomlogboeken moeten worden geconfigureerd voor elke netwerkbeveiligingsgroep | Controleer of stroomlogboeken zijn geconfigureerd voor netwerkbeveiligingsgroepen. Als u stroomlogboeken inschakelt, kunt u logboekgegevens vastleggen over IP-verkeer dat via de netwerkbeveiligingsgroep stroomt. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer. | Controle, uitgeschakeld | 1.1.0 |
| Gatewaysubnetten moeten niet worden geconfigureerd met een netwerkbeveiligingsgroep | Met dit beleid wordt de toegang geweigerd als een gatewaysubnet is geconfigureerd met een netwerkbeveiligingsgroep. Het toewijzen van een netwerkbeveiligingsgroep aan een gatewaysubnet heeft tot gevolg dat de gateway niet meer werkt. | deny | 1.0.0 |
| Key Vault moet gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle exemplaren van Key Vault gecontroleerd die niet zijn geconfigureerd voor het gebruik van een virtuele-netwerkservice-eindpunt. | Controle, uitgeschakeld | 1.0.0 |
| WAF migreren van WAF-configuratie naar WAF-beleid in Application Gateway | Als u WAF-configuratie hebt in plaats van WAF-beleid, kunt u overschakelen naar het nieuwe WAF-beleid. In de toekomst biedt het firewallbeleid ondersteuning voor WAF-beleidsinstellingen, beheerde regelsets, uitsluitingen en uitgeschakelde regelgroepen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Doorsturen via IP moet in netwerkinterfaces worden uitgeschakeld | Met dit beleid worden de netwerkinterfaces geweigerd waarvoor doorsturen via IP is ingeschakeld. De instelling voor doorsturen via IP zorgt ervoor dat Azure de bron en bestemming voor een netwerkinterface niet controleert. Dit moet worden gecontroleerd door het netwerkbeveiligingsteam. | deny | 1.0.0 |
| Netwerkinterfaces mogen geen openbare IP-adressen hebben | Met dit beleid worden de netwerkinterfaces geweigerd die zijn geconfigureerd met een openbaar IP-adres. Dankzij openbare IP-adressen kunnen internetbronnen in de inkomende richting met Azure-resources communiceren en kunnen Azure-resources in de uitgaande richting communiceren met internet. Dit moet worden gecontroleerd door het netwerkbeveiligingsteam. | deny | 1.0.0 |
| Netwerk Watcher-stroomlogboeken moeten verkeeranalyse hebben ingeschakeld | Traffic Analytics analyseert stroomlogboeken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Het kan worden gebruikt om netwerkactiviteit in uw Azure-abonnementen te visualiseren en hotspots te identificeren, beveiligingsrisico's te identificeren, verkeersstroompatronen te begrijpen, netwerkfouten vast te stellen en meer. | Controle, uitgeschakeld | 1.0.1 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| SQL Server moet gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle exemplaren van SQL Server gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle opslagaccounts gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0 |
| Het abonnement moet de Azure Firewall Premium configureren om extra beveiligingslagen te bieden | Azure Firewall Premium biedt geavanceerde bedreigingsbeveiliging die voldoet aan de behoeften van zeer gevoelige en gereguleerde omgevingen. Implementeer Azure Firewall Premium in uw abonnement en zorg ervoor dat al het serviceverkeer wordt beveiligd door Azure Firewall Premium. Ga voor meer informatie over Azure Firewall Premium naar https://aka.ms/fw-premium | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Virtuele machines moeten zijn verbonden met een goedgekeurd virtueel netwerk | Met dit beleid worden virtuele machines gecontroleerd die zijn verbonden met een niet-goedgekeurd virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele netwerken moeten worden beveiligd door Azure DDoS Protection | Bescherm uw virtuele netwerken tegen volumetrische en protocolaanvallen met Azure DDoS Protection. U vindt meer informatie op https://aka.ms/ddosprotectiondocs. | Wijzigen, controleren, uitgeschakeld | 1.0.1 |
| Virtuele netwerken moeten gebruikmaken van de opgegeven virtuele-netwerkgateway | Met dit beleid worden alle virtuele netwerken gecontroleerd als de standaardroute niet verwijst naar de opgegeven virtuele-netwerkgateway. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| VPN-gateways mogen alleen Azure Active Directory-verificatie (Azure AD) gebruiken voor punt-naar-site-gebruikers | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat VPN Gateways alleen Azure Active Directory-identiteiten gebruiken voor verificatie. Meer informatie over Azure AD-verificatie vindt u op https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Web Application Firewall (WAF) moet alle firewallregels voor Application Gateway inschakelen | Als u alle WAF-regels (Web Application Firewall) inschakelt, wordt de beveiliging van uw toepassing versterkt en worden uw webtoepassingen beschermd tegen veelvoorkomende beveiligingsproblemen. Voor meer informatie over Web Application Firewall (WAF) met Application Gateway gaat u naar https://aka.ms/waf-ag | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application Gateway | Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Azure Front Door Service | Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Azure Front Door Service. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Tags
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een tag toevoegen aan resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resourcegroep wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan resources | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. Hiermee worden geen tags van resourcegroepen gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan abonnementen | Voegt de opgegeven tag en waarde toe aan abonnementen via een hersteltaak. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. Raadpleeg https://aka.ms/azurepolicyremediation voor meer informatie over beleidsherstel. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd of vervangen wanneer een resourcegroep wordt gemaakt of bijgewerkt. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in resources | Hiermee worden de opgegeven tag en waarde toegevoegd of vervangen wanneer een resource wordt gemaakt of bijgewerkt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Hiermee worden geen tags van resourcegroepen gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in abonnementen | Voegt de opgegeven tag en waarde toe aan abonnementen via een hersteltaak, of vervangt deze. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. Raadpleeg https://aka.ms/azurepolicyremediation voor meer informatie over beleidsherstel. | wijzigen | 1.0.0 |
| Een tag met de bijbehorende waarde toevoegen vanuit de resourcegroep | Hiermee wordt de opgegeven tag met de bijbehorende waarde vanuit de resourcegroep toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resources die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resources zijn gewijzigd. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.0 |
| Een tag met bijbehorende waarde toevoegen aan resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resourcegroep wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resourcegroepen die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resourcegroepen zijn gewijzigd. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.0 |
| Een tag en de bijbehorende waarde toevoegen aan resources | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resources die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resources zijn gewijzigd. Is niet van toepassing op resourcegroepen. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.1 |
| Een tag overnemen van de resourcegroep | Hiermee worden de opgegeven tag en waarde van de bovenliggende resourcegroep toegevoegd of vervangen wanneer een resource wordt gemaakt of bijgewerkt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag overnemen van de resourcegroep indien deze ontbreekt | Hiermee wordt de opgegeven tag met de bijbehorende waarde vanuit de bovenliggende resourcegroep toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag overnemen van het abonnement | Hiermee worden de opgegeven tag en waarde vanuit het abonnement dat ze bevat, toegevoegd of vervangen wanneer een resource wordt gemaakt of bijgewerkt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag overnemen van het abonnement indien deze ontbreekt | Hiermee wordt de opgegeven tag met de bijbehorende waarde vanuit het abonnement dat de tag bevat, toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag met bijbehorende waarde vereisen voor resourcegroepen | Hiermee wordt een vereiste tag met de bijbehorende waarde afgedwongen in resourcegroepen. | deny | 1.0.0 |
| Een tag met bijbehorende waarde vereisen voor resources | Hiermee wordt een vereiste tag met de bijbehorende waarde afgedwongen. Is niet van toepassing op resourcegroepen. | deny | 1.0.1 |
| Een tag vereisen voor resourcegroepen | Hiermee wordt het bestaan van een tag in resourcegroepen afgedwongen. | deny | 1.0.0 |
| Een tag vereisen voor resources | Hiermee wordt het bestaan van een tag afgedwongen. Is niet van toepassing op resourcegroepen. | deny | 1.0.1 |
| Vereist dat resources geen specifieke tag hebben. | Hiermee wordt het maken van een resource met de opgegeven tag geweigerd. Is niet van toepassing op resourcegroepen. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Algemeen
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Allowed locations (Toegestane locaties) | Met dit beleid kunt u de locaties beperken die uw organisatie kan opgeven tijdens het implementeren van resources. Dit beleid wordt gebruikt om uw geografische nalevingsvereisten af te dwingen. Resourcegroepen, Microsoft.AzureActiveDirectory/b2cDirectories en resources die gebruikmaken van de regio 'global' worden uitgesloten. | deny | 1.0.0 |
| Toegestane locaties voor resourcegroepen | Met dit beleid kunt u de locaties beperken waarin uw organisatie resourcegroepen kan maken. Dit beleid wordt gebruikt om uw geografische nalevingsvereisten af te dwingen. | deny | 1.0.0 |
| Allowed resource types (Toegestane resourcetypen) | Met dit beleid kunt u de resourcetypen opgeven die uw organisatie mag implementeren. Dit beleid is alleen van invloed op resourcetypen die 'tags' en 'location' ondersteunen. Als u alle resources wilt beperken, moet u dit beleid dupliceren en de 'mode' wijzigen in 'All '. | deny | 1.0.0 |
| Controle of de resourcelocatie overeenkomt met de locatie van de groep | Controle of de resourcelocatie overeenkomt met de locatie van de bijbehorende resourcegroep | controleren | 2.0.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Abonnementen configureren voor het instellen van preview-functies | Met dit beleid worden de preview-functies van een bestaand abonnement geëvalueerd. Abonnementen kunnen worden hersteld om u te registreren bij een nieuwe preview-functie. Nieuwe abonnementen worden niet automatisch geregistreerd. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.1 |
| Verwijderen van resourcetypen niet toestaan | Met dit beleid kunt u de resourcetypen opgeven die uw organisatie kan beveiligen tegen onbedoeld verwijderen door aanroepen voor verwijderen te blokkeren met behulp van actie-effect weigeren. | DenyAction, Uitgeschakeld | 1.0.1 |
| M365-resources niet toestaan | Het maken van M365-resources blokkeren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| MCPP-resources niet toestaan | Het maken van MCPP-resources blokkeren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resources voor gebruikskosten uitsluiten | Met dit beleid kunt u resources voor gebruikskosten bekijken. Gebruikskosten omvatten zaken zoals opslag met datalimiet en Azure-resources die worden gefactureerd op basis van gebruik. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Not allowed resource types (Niet-toegestane resourcetypen) | Beperken welke resourcetypen in uw omgeving kunnen worden geïmplementeerd. Het beperken van resourcetypen kan de complexiteit en het kwetsbaarheid van uw omgeving verminderen en tegelijkertijd de kosten beheren. Nalevingsresultaten worden alleen weergegeven voor niet-compatibele resources. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.