Definições internas da Política do Azure para a Rede Virtual do Azure
Esta página é um índice das definições de política internas da Política do Azure para a Rede Virtual do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Rede Virtual do Azure
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Preview]: O Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Registro de Contêiner não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0-pré-visualização |
| Uma política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual do Azure | Esta política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada de IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Auditoria, Desativado | 1.0.0 |
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre os pontos de extremidade do serviço de aplicativo, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| O Gateway de Aplicativo do Azure deve ser implantado com o Azure WAF | Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o Azure WAF. | Auditoria, Negar, Desativado | 1.0.0 |
| As Regras Clássicas do Firewall do Azure devem ser migradas para a Política de Firewall | Migre das Regras Clássicas do Firewall do Azure para a Política de Firewall para utilizar ferramentas de gerenciamento central, como o Gerenciador de Firewall do Azure. | Auditoria, Negar, Desativado | 1.0.0 |
| A Análise de Política de Firewall do Azure deve estar habilitada | A habilitação da Análise de Políticas fornece visibilidade aprimorada do tráfego que flui pelo Firewall do Azure, permitindo a otimização da configuração do firewall sem afetar o desempenho do aplicativo | Auditoria, Desativado | 1.0.0 |
| A Política de Firewall do Azure deve habilitar o Threat Intelligence | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| A Política de Firewall do Azure deve ter o Proxy DNS Ativado | Habilitar o Proxy DNS fará com que o Firewall do Azure associado a essa política escute na porta 53 e encaminhe as solicitações DNS para o servidor DNS especificado | Auditoria, Desativado | 1.0.0 |
| O Firewall do Azure deve ser implantado para abranger várias zonas de disponibilidade | Para aumentar a disponibilidade, recomendamos implantar seu Firewall do Azure para abranger várias zonas de disponibilidade. Isso garante que seu Firewall do Azure permanecerá disponível no caso de uma falha de zona. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Firewall Standard - Regras Clássicas devem habilitar o Threat Intelligence | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Firewall Standard deve ser atualizado para Premium para proteção de próxima geração | Se você estiver procurando proteção de próxima geração, como inspeção de IDPS e TLS, considere atualizar seu Firewall do Azure para sku Premium. | Auditoria, Negar, Desativado | 1.0.0 |
| Os gateways de VPN do Azure não devem usar SKU 'básico' | Esta política garante que os gateways VPN não usem SKU 'básico'. | Auditoria, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure deve ter a inspeção de corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados aos Gateways de Aplicativo do Azure têm a inspeção de corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure na Porta da Frente do Azure deve ter a inspeção do corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados às Portas Frontais do Azure têm a inspeção do corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| A Proteção de Bot deve ser habilitada para o WAF do Gateway de Aplicativo do Azure | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Firewall de Aplicativo Web do Gateway de Aplicativo do Azure (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| A Proteção de Bot deve ser habilitada para o Azure Front Door WAF | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Azure Front Door Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| Definir definições de diagnóstico para os Grupos de Segurança de Rede do Azure para a área de trabalho do Log Analytics | Implante configurações de diagnóstico nos Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se já tiver a análise de tráfego ativada, a política não substituirá suas configurações. Os Logs de Fluxo também estão habilitados para os grupos de segurança de Rede que não os têm. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar grupos de segurança de rede para usar espaço de trabalho, conta de armazenamento e política de retenção de fluxolog específicos para análise de tráfego | Se já tiver a análise de tráfego habilitada, a política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A análise de tráfego e os logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Esta política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.1 |
| Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.2 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cosmos DB não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Ele permitirá registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com a rede virtual de destino | Configura o log de fluxo para uma rede virtual específica. Ele permitirá registrar informações sobre o tráfego IP fluindo através de uma rede virtual. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | DeployIfNotExists, desativado | 1.1.1 |
| Implantar o inspetor de rede quando redes virtuais são criadas | Esta política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do inspetor de rede. | DeployIfNotExists | 1.0.0 |
| Habilitar a regra de Limite de Taxa para proteger contra ataques DDoS no WAF da Porta da Frente do Azure | A regra de limite de taxa do Firewall de Aplicativo Web do Azure (WAF) para o Azure Front Door controla o número de solicitações permitidas de um determinado endereço IP do cliente para o aplicativo durante uma duração de limite de taxa. | Auditoria, Negar, Desativado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Hub de Eventos não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um security group de rede | Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | negar | 1.0.0 |
| O Cofre de Chaves deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cofre de Chaves não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| Migrar o WAF da configuração do WAF para a política do WAF no Application Gateway | Se você tiver WAF Config em vez de WAF Policy, então você pode querer mover para a nova WAF Policy. No futuro, a política de firewall suportará configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem desativar o encaminhamento IP | Esta política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento IP desabilita a verificação do Azure da origem e do destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Esta política nega as interfaces de rede configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
| Os logs de fluxo do Inspetor de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais. | Auditoria, Desativado | 1.0.1 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| IPs públicos e prefixos de IP público devem ter a tag FirstPartyUsage | Verifique se todos os endereços IP públicos e prefixos IP públicos têm uma tag FirstPartyUsage. | Auditoria, Negar, Desativado | 1.0.0 |
| O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer SQL Server não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| As sub-redes devem ser privadas | Certifique-se de que suas sub-redes estejam seguras por padrão, impedindo o acesso de saída padrão. Para obter mais informações, aceda a https://aka.ms/defaultoutboundaccessretirement | Auditoria, Negar, Desativado | 1.0.0 |
| Os Hubs Virtuais devem ser protegidos com o Firewall do Azure | Implante um Firewall do Azure em seus Hubs Virtuais para proteger e controlar granularmente o tráfego de saída e entrada da Internet. | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
| As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure | Proteja as suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para mais informações, visite https://aka.ms/ddosprotectiondocs. | Modificar, Auditar, Desativar | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
| Os gateways de VPN devem usar apenas a autenticação do Azure Ative Directory (Azure AD) para usuários ponto a site | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas identidades do Azure Ative Directory para autenticação. Saiba mais sobre a autenticação do Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Azure Front Door Service | Exige o uso do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Etiquetas
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar uma etiqueta a grupos de recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Adicionar uma etiqueta a recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. Não modifica as etiquetas nos grupos de recursos. | modificar | 1.0.0 |
| Adicionar uma etiqueta a subscrições | Adiciona a tag e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a etiqueta existir com um valor diferente, não será alterada. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em grupos de recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Não modifica as etiquetas nos grupos de recursos. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em subscrições | Adiciona ou substitui a tag e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modificar | 1.0.0 |
| Anexar uma etiqueta e o seu valor a partir do grupo de recursos | Anexa a etiqueta especificada com o respetivo valor a partir do grupo de recursos quando cria ou atualiza um recurso sem esta etiqueta. Não modifica as etiquetas de recursos criados antes de esta política ser aplicada até esses recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar uma etiqueta e o seu valor a grupos de recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Não modifica as etiquetas de grupos de recursos criados antes de esta política ser aplicada até esses grupos de recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar uma etiqueta e o seu valor a recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza quaisquer recursos sem esta etiqueta. Não modifica as etiquetas de recursos criados antes de esta política ser aplicada até esses recursos serem alterados. Não é aplicável a grupos de recursos. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.1 |
| Herdar uma etiqueta do grupo de recursos | Adiciona ou substitui a etiqueta e o valor especificados do grupo de recursos principal quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Herdar uma etiqueta do grupo de recursos se estiver em falta | Adiciona a etiqueta especificada com o respetivo valor a partir do grupo de recursos principal quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Herdar uma etiqueta da subscrição | Adiciona ou substitui a etiqueta e o valor especificados da subscrição quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Herdar uma etiqueta da subscrição se estiver em falta | Adiciona a etiqueta especificada com o respetivo valor a partir da subscrição quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em grupos de recursos | Impõe uma etiqueta necessária e o respetivo valor aos grupos de recursos. | negar | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em recursos | Impõe uma etiqueta necessária e o respetivo valor. Não é aplicável a grupos de recursos. | negar | 1.0.1 |
| Exigir uma etiqueta em grupos de recursos | Impõe a existência de uma etiqueta em grupos de recursos. | negar | 1.0.0 |
| Exigir uma etiqueta nos recursos | Impõe a existência de uma etiqueta. Não é aplicável a grupos de recursos. | negar | 1.0.1 |
Geral
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Localizações permitidas | Esta política permite-lhe restringir as localizações que a sua organização pode especificar ao implementar recursos. Utilize para impor os requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região 'global'. | negar | 1.0.0 |
| Locais permitidos para grupos de recursos | Esta política permite-lhe restringir as localizações em que a sua organização pode criar grupos de recursos. Utilize para impor os requisitos de conformidade geográfica. | negar | 1.0.0 |
| Tipos de recursos permitidos | Essa política permite especificar os tipos de recursos que sua organização pode implantar. Apenas os tipos de recursos que suportam 'tags' e 'localização' serão afetados por esta política. Para restringir todos os recursos, por favor duplique esta política e altere o 'modo' para 'Todos'. | negar | 1.0.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do grupo de recursos | auditoria | 2.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Configurar subscrições para configurar funcionalidades de pré-visualização | Esta política avalia os recursos de visualização da assinatura existente. As subscrições podem ser corrigidas para se registarem numa nova funcionalidade de pré-visualização. As novas subscrições não serão registadas automaticamente. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| Não permitir a exclusão de tipos de recursos | Esta política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. | DenyAction, desativado | 1.0.1 |
| Não permitir recursos M365 | Criação de blocos de recursos M365. | Auditoria, Negar, Desativado | 1.0.0 |
| Não permitir recursos MCPP | Bloquear a criação de recursos MCPP. | Auditoria, Negar, Desativado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exlcude Recursos de Custos de Uso. Os custos de uso incluem coisas como armazenamento limitado e recursos do Azure que são cobrados com base no uso. | Auditoria, Negar, Desativado | 1.0.0 |
| Tipos de recursos não permitidos | Restrinja quais tipos de recursos podem ser implantados em seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente e, ao mesmo tempo, ajudar a gerenciar custos. Os resultados de conformidade são mostrados apenas para recursos não compatíveis. | Auditoria, Negar, Desativado | 2.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.