Políticas internas do Azure Monitor

As políticas e as iniciativas de política fornecem um método simples para habilitar o registro em log em escala por meio de configurações de diagnóstico para o Azure Monitor. Usando uma iniciativa de política, você pode ativar o log de auditoria para todos os recursos com suporte em seu ambiente do Azure.

Habilite os logs de recursos para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Atribua políticas para habilitar logs de recursos e enviá-los para destinos de acordo com suas necessidades. Envie logs para hubs de eventos de sistemas SIEM de terceiros, permitindo operações de segurança contínuas. Envie logs para contas de armazenamento para armazenamento de longo prazo ou cumprimento da conformidade regulatória.

Existe um conjunto de políticas e iniciativas internas para direcionar logs de recursos para workspaces do Log Analytics, Hubs de Eventos e Contas de Armazenamento. As políticas habilitam o registro em log de auditoria, o envio de logs pertencentes ao grupo de categorias de log auditoria ou Todos os logs, para um hub de eventos, espaço de trabalho do Log Analytics ou Conta de Armazenamento. As políticas são effectDeployIfNotExists, que implanta a política como padrão se não houver outras configurações definidas.

Implantar políticas.

Implantar as políticas e iniciativas usando o Portal, a CLI, o PowerShell ou os modelos de Gerenciamento de Recursos do Azure

Azure portal

As etapas a seguir mostram como aplicar a política de envio de logs de auditoria para cofres de chaves para um workspace do Log Analytics.

1. Na página Política, selecione Definições.

2. Selecione seu escopo. Você pode aplicar bloqueios a uma assinatura, a um grupo de recursos ou a um recurso individual.

3. Na lista suspensa Tipo de definição, selecione Política.

4. Selecione Monitoramento na lista suspensa Categoria

5. Insira keyvault no campo de Busca.

6. Selecione a política Habilitar o registro em log por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) para Log Analytics,

7. Na página de definição de política, selecione Atribuir

8. Selecione a guia Parâmetros .

9. Selecione o Workspace do Log Analytics para o qual você deseja enviar os logs de auditoria.

10. Selecione a guia Correção.

11. Na guia correção, selecione a política keyvault na lista suspensa Política para corrigir.

12. Marque a caixa de seleção Criar uma Identidade Gerenciada.

13. Em Tipo de Identidade Gerenciada, selecione Identidade Gerenciada atribuída pelo sistema.

14. Selecione Examinar + Criar e Criar.

CLI

Para aplicar uma política usando a CLI, use os seguintes comandos:

1. Criar uma atribuição de política usando az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Por exemplo, para aplicar a política de envio de logs de auditoria para um workspace do Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Atribua a função necessária à identidade criada para a atribuição de política. Localize a função na definição de política pesquisando roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Dispare uma verificação para localizar recursos existentes usando az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Crie uma tarefa de correção para aplicar a política aos recursos existentes usando az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Por exemplo,

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Para obter mais informações sobre a atribuição de política usando a CLI, consulte Referência da CLI do Azure – atribuição de política az

PowerShell

Para aplicar uma política usando o PowerShell, use os seguintes comandos:

1. Configure seu ambiente. Selecione sua assinatura e defina seu grupo de recursos

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Obtenha a definição de política e configure os parâmetros da política. No exemplo abaixo, atribuímos a política para enviar logs keyVault a um workspace do Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Atribuir a política

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Atribua a função ou funções necessárias à Identidade Gerenciada atribuída pelo sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Verifique se há conformidade e crie uma tarefa de correção para forçar a conformidade dos recursos existentes.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Verificar conformidade

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

A política fica visível nas configurações de diagnóstico dos recursos após aproximadamente 30 minutos.

Tarefas de correção

As políticas são aplicadas a novos recursos quando são criadas. Para aplicar uma política aos recursos existentes, crie uma tarefa de correção. As tarefas de correção trazem recursos em conformidade com uma política.

As tarefas de correção atuam para políticas específicas. Para iniciativas que contêm várias políticas, crie uma tarefa de correção para cada política na iniciativa em que você tem recursos que deseja colocar em conformidade.

Defina tarefas de correção quando você atribuir a política pela primeira vez ou em qualquer estágio após a atribuição.

Para criar uma tarefa de correção para políticas durante a atribuição de política, selecione a guia Correção na página Atribuir política e marque a caixa de seleção Criar tarefa de correção.

Para criar uma tarefa de correção após a atribuição da política, selecione sua política atribuída na lista na página Atribuições de Política.

Selecione Remediar. Acompanhe o status da tarefa de correção na guia Tarefas de correção da página Correção de Política.

Para obter mais informações sobre tarefas de correção, consulte Corrigir recursos não compatíveis

Atribuir iniciativas

Iniciativas são coleções de políticas. Há dois conjuntos de iniciativas para as configurações de Diagnóstico do Azure Monitor:

1. Habilitar o log de recursos do grupo de categorias da auditoria

   • Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte nos Hubs de Eventos
   • Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte na Análise de logs
   • Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte no armazenamento

2. Habilitar o log de recursos do grupo de categorias allLogs

   • Habilitar o log de recursos de grupo da categoria allLogs para os recursos com suporte no armazenamento
   • Habilite o log de recursos do grupo da categoria allLogs para os recursos com suporte nos hubs de eventos
   • Habilitar o log de recursos do grupo de categorias allLogs nos recursos com suporte no Log Analytics

Neste exemplo, atribuímos uma iniciativa para enviar logs de auditoria para um workspace do Log Analytics.

Azure portal

1. Na página Definições de política, selecione seu escopo.

2. Selecione Iniciativa na lista suspensa Tipo de definição.

3. Selecione Monitoramento na lista suspensa Categoria.

4. Insira auditoria no campo de Busca.

5. Selecione a iniciativa Habilitar o log de recursos do grupo de categorias de auditoria para recursos com suporte na Análise de logs.

6. Na página a seguir, selecione Atribuir

7. Na guia Noções básicas da página Atribuir iniciativa, selecione um Escopo ao qual você deseja que a iniciativa se aplique.

8. Insira um nome no campo Nome da atribuição.

9. Selecione a guia Parâmetros.

   Os Parâmetros contêm os parâmetros definidos na política. Nesse caso, precisamos selecionar o workspace do Log Analytics para o qual desejamos enviar os logs. Para obter mais informações sobre os parâmetros individuais de cada política, consulte Parâmetros específicos da política.

10. Selecione o workspace do Log Analytics para o qual enviar os logs de auditoria.

11. Selecione Examinar + criar e, em seguida, Criar

Para verificar se sua política ou atribuição de iniciativa está funcionando, crie um recurso no escopo da assinatura ou do grupo de recursos que você definiu em sua atribuição de política.

Após 10 minutos, selecione a página Configurações de diagnóstico do recurso. Sua configuração de diagnóstico aparece na lista com o nome padrão setByPolicy-LogAnalytics e o nome do workspace que você configurou na política.

Altere o nome padrão na guia Parâmetros da páginaAtribuir iniciativa ou política desmarcando a caixa de seleção Mostrar somente parâmetros que precisam de entrada ou revisão.

PowerShell

1. Defina suas variáveis de ambiente

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Obter a definição da iniciativa. Neste exemplo, usaremos a iniciativa Habilitar o log de recursos do grupo de categoria de auditoria para recursos com suporte para ` Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Defina um nome de atribuição e configure parâmetros. Para essa iniciativa, os parâmetros incluem a ID do workspace do Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Atribua a iniciativa usando os parâmetros

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Atribua a função Contributor à identidade gerenciada atribuída pelo sistema. Para outras iniciativas, verifique quais funções são necessárias.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Verifique se há conformidade com a política. O comando Start-AzPolicyComplianceScan leva alguns minutos para retornar

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Obtenha uma lista de recursos para corrigir e os parâmetros necessários chamando Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Para cada tipo de recurso com recursos não compatíveis, inicie uma tarefa de correção.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Verifique o estado de conformidade quando as tarefas de correção forem concluídas.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Você pode obter os detalhes da atribuição de política usando o seguinte comando:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

CLI

1. Entre em sua conta do Azure usando o comando az login.

2. Selecione a assinatura na qual você deseja aplicar a iniciativa de política usando o comando az account set.

3. Atribua a iniciativa usando az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Por exemplo:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Atribua a função necessária à identidade gerenciada pelo sistema

   Localize as funções a serem atribuídas em qualquer uma das definições de política na iniciativa pesquisando a definição de roleDefinitionIds, por exemplo:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Atribua a função necessária usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Por exemplo:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Crie tarefas de correção para as políticas na iniciativa.

   As tarefas de correção são criadas por política. Cada tarefa é para um definition-reference-id específico, especificado na iniciativa como policyDefinitionReferenceId. Para encontrar o parâmetro definition-reference-id, use o seguinte comando:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Corrija os recursos usando az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Por exemplo:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Para criar uma tarefa de correção para todas as políticas na iniciativa, use o seguinte exemplo:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Parâmetros comuns

A tabela a seguir descreve os parâmetros comuns para cada conjunto de políticas.

Parâmetro	Descrição	Valores válidos	Padrão
efeito	Habilitar ou desabilitar a execução da política	DeployIfNotExists, AuditIfNotExists, Desabilitado	DeployIfNotExists
diagnosticSettingName	Nome da configuração de diagnóstico		setByPolicy-{LogAnalytics|EventHubs|Storage}
categoryGroup	Grupo de categorias de diagnóstico	none, audit, AllLogs	auditoria
resourceTypeList	Para iniciativas, uma lista de tipos de recursos a serem avaliados para existência de ambiente de diagnóstico.	Recursos compatíveis	Todos os recursos com suporte

Parâmetros específicos da política

Parâmetros de política do Log Analytics

Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics.

Parâmetro	Descrição	Valores válidos	Padrão
resourceLocationList	Lista de Localização do Recurso para enviar logs para o Log Analytics próximo. "*" seleciona todos os locais	Locais com suporte	*
logAnalytics	Workspace do Log Analytics

Parâmetros de política dos Hubs de Eventos

Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um hub de eventos.

Parâmetro	Descrição	Valores válidos	Padrão
resourceLocation	O Local do Recurso deve ser o mesmo local que o namespace do Hub de Eventos	Locais com suporte
eventHubAuthorizationRuleId	ID da Regra de Autorização do Hub de Eventos. A regra de autorização está no nível do namespace do Hub de Eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nome do Hub de Eventos		Monitoramento

Parâmetros de política das Contas de Armazenamento

Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento.

Parâmetro	Descrição	Valores válidos	Padrão
resourceLocation	O Local do Recurso deve estar no mesmo local que a Conta de Armazenamento	Locais com suporte
storageAccount	ResourceId da Conta de Armazenamento

Recursos compatíveis

Há políticas integradas de Todos os logs e Logs de auditoria para os workspaces do Log Analytics, Hubs de eventos e Contas de armazenamento para os seguintes recursos:

Tipo de recurso	Todos os logs	Logs de Auditoria
microsoft.aad/domainservices	Sim	Yes
microsoft.agfoodplatform/farmbeats	Sim	Yes
microsoft.analysisservices/servers	Sim	Não
microsoft.apimanagement/service	Sim	Yes
microsoft.app/managedenvironments	Sim	Yes
microsoft.appconfiguration/configurationstores	Sim	Yes
microsoft.appplatform/spring	Sim	Não
microsoft.attestation/attestationproviders	Sim	Yes
microsoft.automation/automationaccounts	Sim	Yes
microsoft.autonomousdevelopmentplatform/workspaces	Sim	Não
microsoft.avs/privateclouds	Sim	Yes
microsoft.azureplaywrightservice/accounts	Sim	Yes
microsoft.azuresphere/catalogs	Sim	Yes
microsoft.batch/batchaccounts	Sim	Yes
microsoft.botservice/botservices	Sim	Não
microsoft.cache/redis	Sim	Yes
microsoft.cache/redisenterprise/databases	Sim	Yes
microsoft.cdn/cdnwebapplicationfirewallpolicies	Sim	Não
microsoft.cdn/profiles	Sim	Yes
microsoft.cdn/profiles/endpoints	Sim	Não
microsoft.chaos/experiments	Sim	Yes
microsoft.classicnetwork/networksecuritygroups	Sim	Não
microsoft.cloudtest/hostedpools	Sim	Não
microsoft.codesigning/codesigningaccounts	Sim	Yes
microsoft.cognitiveservices/accounts	Sim	Yes
microsoft.communication/communicationservices	Sim	Não
microsoft.community/communitytrainings	Sim	Yes
microsoft.confidentialledger/managedccfs	Sim	Yes
microsoft.connectedcache/enterprisemcccustomers	Sim	Não
microsoft.connectedcache/ispcustomers	Sim	Não
microsoft.containerinstance/containergroups	Sim	Não
microsoft.containerregistry/registries	Sim	Yes
microsoft.customproviders/resourceproviders	Sim	Não
microsoft.d365customerinsights/instances	Sim	Não
microsoft.dashboard/grafana	Sim	Yes
microsoft.databricks/workspaces	Sim	Não
microsoft.datafactory/factories	Sim	Não
microsoft.datalakeanalytics/accounts	Sim	Não
microsoft.datalakestore/accounts	Sim	Não
microsoft.dataprotection/backupvaults	Sim	Não
microsoft.datashare/accounts	Sim	Não
microsoft.dbformariadb/servers	Sim	Não
microsoft.dbformysql/flexibleservers	Sim	Yes
microsoft.dbformysql/servers	Sim	Não
microsoft.dbforpostgresql/flexibleservers	Sim	Yes
microsoft.dbforpostgresql/servergroupsv2	Sim	Não
microsoft.dbforpostgresql/servers	Sim	Não
microsoft.desktopvirtualization/applicationgroups	Sim	Não
microsoft.desktopvirtualization/hostpools	Sim	Não
microsoft.desktopvirtualization/scalingplans	Sim	Não
microsoft.desktopvirtualization/workspaces	Sim	Não
microsoft.devcenter/devcenters	Sim	Yes
microsoft.devices/iothubs	Sim	Yes
microsoft.devices/provisioningservices	Sim	Não
microsoft.digitaltwins/digitaltwinsinstances	Sim	Não
microsoft.documentdb/cassandraclusters	Sim	Yes
microsoft.documentdb/databaseaccounts	Sim	Yes
microsoft.documentdb/mongoclusters	Sim	Yes
microsoft.eventgrid/domains	Sim	Yes
microsoft.eventgrid/partnernamespaces	Sim	Yes
microsoft.eventgrid/partnertopics	Sim	Não
microsoft.eventgrid/systemtopics	Sim	Não
microsoft.eventgrid/topics	Sim	Yes
microsoft.eventhub/namespaces	Sim	Yes
microsoft.experimentation/experimentworkspaces	Sim	Não
microsoft.healthcareapis/services	Sim	Não
microsoft.healthcareapis/workspaces/dicomservices	Sim	Não
microsoft.healthcareapis/workspaces/fhirservices	Sim	Não
microsoft.healthcareapis/workspaces/iotconnectors	Sim	Não
microsoft.insights/autoscalesettings	Sim	Não
microsoft.insights/components	Sim	Não
microsoft.insights/datacollectionrules	Sim	Não
microsoft.keyvault/managedhsms	Sim	Yes
microsoft.keyvault/vaults	Sim	Yes
microsoft.kusto/clusters	Sim	Yes
microsoft.loadtestservice/loadtests	Sim	Yes
microsoft.logic/integrationaccounts	Sim	Não
microsoft.logic/workflows	Sim	Não
microsoft.machinelearningservices/registries	Sim	Yes
microsoft.machinelearningservices/workspaces	Sim	Yes
microsoft.machinelearningservices/workspaces/onlineendpoints	Sim	Não
microsoft.managednetworkfabric/networkdevices	Sim	Não
microsoft.media/mediaservices	Sim	Yes
microsoft.media/mediaservices/liveevents	Sim	Yes
microsoft.media/mediaservices/streamingendpoints	Sim	Yes
microsoft.netapp/netappaccounts/capacitypools/volumes	Sim	Yes
microsoft.network/applicationgateways	Sim	Não
microsoft.network/azurefirewalls	Sim	Não
microsoft.network/bastionhosts	Sim	Yes
microsoft.network/dnsresolverpolicies	Sim	Não
microsoft.network/expressroutecircuits	Sim	Não
microsoft.network/frontdoors	Sim	Yes
microsoft.network/loadbalancers	Sim	Não
microsoft.network/networkmanagers	Sim	Yes
microsoft.network/networkmanagers/ipampools	Sim	Yes
microsoft.network/networksecuritygroups	Sim	Não
microsoft.network/networksecurityperimeters	Sim	Não
microsoft.network/p2svpngateways	Sim	Yes
microsoft.network/publicipaddresses	Sim	Yes
microsoft.network/publicipprefixes	Sim	Yes
microsoft.network/trafficmanagerprofiles	Sim	Não
microsoft.network/virtualnetworkgateways	Sim	Yes
microsoft.network/virtualnetworks	Sim	Não
microsoft.network/vpngateways	Sim	Não
microsoft.networkanalytics/dataproducts	Sim	Yes
microsoft.networkcloud/baremetalmachines	Sim	Não
microsoft.networkcloud/clusters	Sim	Não
microsoft.networkcloud/storageappliances	Sim	Não
microsoft.networkfunction/azuretrafficcollectors	Sim	Não
microsoft.notificationhubs/namespaces	Sim	Yes
microsoft.notificationhubs/namespaces/notificationhubs	Sim	Yes
microsoft.openenergyplatform/energyservices	Sim	Não
microsoft.operationalinsights/workspaces	Sim	Yes
microsoft.powerbi/tenants/workspaces	Sim	Não
microsoft.powerbidedicated/capacities	Sim	Não
microsoft.purview/accounts	Sim	Yes
microsoft.recoveryservices/vaults	Sim	Não
microsoft.relay/namespaces	Sim	Não
microsoft.search/searchservices	Sim	Yes
microsoft.servicebus/namespaces	Sim	Yes
microsoft.servicenetworking/trafficcontrollers	Sim	Não
microsoft.signalrservice/signalr	Sim	Yes
microsoft.signalrservice/webpubsub	Sim	Yes
microsoft.sql/managedinstances	Sim	Yes
microsoft.sql/managedinstances/databases	Sim	Não
microsoft.sql/servers/databases	Sim	Yes
microsoft.storagecache/caches	Sim	Não
microsoft.storagemover/storagemovers	Sim	Não
microsoft.streamanalytics/streamingjobs	Sim	Não
microsoft.synapse/workspaces	Sim	Yes
microsoft.synapse/workspaces/bigdatapools	Sim	Yes
microsoft.synapse/workspaces/kustopools	Sim	Yes
microsoft.synapse/workspaces/scopepools	Sim	Yes
microsoft.synapse/workspaces/sqlpools	Sim	Yes
microsoft.timeseriesinsights/environments	Sim	Não
microsoft.timeseriesinsights/environments/eventsources	Sim	Não
microsoft.videoindexer/accounts	Sim	Não
microsoft.web/hostingenvironments	Sim	Yes
microsoft.workloads/sapvirtualinstances	Sim	Sim

Próximas etapas

• Criar configurações de diagnóstico em escala com o Azure Policy
• Definições internas do Azure Policy para o Azure Monitor
• Visão geral da política do Azure
• Azure Enterprise Policy como código