Встроенные определения в Политике Azure для виртуальной сети Azure

Эта страница представляет собой индекс встроенных определений политик в Политике Azure для виртуальной сети Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.

Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".

Виртуальная сеть Azure

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
[Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети. Audit, Disabled 1.0.0 (предварительная версия)
Настраиваемая политика IPsec/IKE должна применяться ко всем подключениям к шлюзу виртуальной сети Azure Эта политика гарантирует, что все подключения шлюза виртуальной сети Azure используют настраиваемую политику IPsec/IKE. Поддерживаемые алгоритмы и сила ключа — https://aka.ms/AA62kb0 Audit, Disabled 1.0.0
Все ресурсы журнала потоков должны быть включены в состоянии Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.0.1
Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Настройка журналов потоков аудита для каждой виртуальной сети Аудит виртуальной сети, чтобы проверить, настроены ли журналы потоков. Включение журналов потоков позволяет регистрировать сведения о IP-трафике, потокуемом через виртуальную сеть. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.0.1
Шлюз приложений Azure следует развернуть с помощью Azure WAF Требуется, чтобы ресурсы Шлюз приложений Azure развертывались с помощью Azure WAF. Audit, Deny, Disabled 1.0.0
Политика брандмауэра Azure должна включить проверку TLS в правилах приложений Включение проверки TLS рекомендуется для всех правил приложений, чтобы обнаруживать, предупреждать и устранять вредоносную активность в HTTPS. Дополнительные сведения о проверке TLS с помощью Брандмауэра Azure см. в статье https://aka.ms/fw-tlsinspect. Audit, Deny, Disabled 1.0.0
Брандмауэр Azure Premium должен настроить допустимый промежуточный сертификат, чтобы включить проверку TLS Настройте допустимый промежуточный сертификат и включите проверку TLS Брандмауэр Azure уровня "Премиум" для обнаружения, оповещения и устранения вредоносных действий в HTTPS. Дополнительные сведения о проверке TLS с помощью Брандмауэра Azure см. в статье https://aka.ms/fw-tlsinspect. Audit, Deny, Disabled 1.0.0
Шлюзы VPN Azure не должны использовать SKU уровня "Базовый" Эта политика гарантирует, что шлюзы VPN не будут использовать SKU уровня "Базовый". Audit, Disabled 1.0.0
Брандмауэр веб-приложений В Шлюз приложений Azure Azure Шлюз приложений Azure должна быть включена проверка тела запроса Убедитесь, что Брандмауэр веб-приложений, связанные с Шлюз приложений Azure, включены проверки тела запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. Audit, Deny, Disabled 1.0.0
Служба Azure Брандмауэр веб-приложений в Azure Front Door должна включать проверку текста запроса Убедитесь, что Брандмауэр веб-приложений, связанные с Azure Front Door, включили проверку тела запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Защита ботов должна быть включена для Шлюз приложений Azure WAF Эта политика гарантирует, что защита бота включена во всех политиках Шлюз приложений Azure Брандмауэр веб-приложений (WAF) Audit, Deny, Disabled 1.0.0
Защита ботов должна быть включена для WAF Azure Front Door Эта политика гарантирует, что защита бота включена во всех политиках azure Front Door Брандмауэр веб-приложений (WAF) Audit, Deny, Disabled 1.0.0
Список обходов системы обнаружения и предотвращения вторжений (IDPS) должен быть пустым в политике брандмауэра Premium Список обходов системы обнаружения и предотвращения вторжений (IDPS) позволяет не фильтровать трафик ни на один из IP-адресов, диапазонов и подсетей, указанных в списке обходов. Однако включение поставщиков удостоверений выполняется повторно для всех потоков трафика для более эффективной идентификации известных угроз. Дополнительные сведения о подписях системы обнаружения и предотвращения вторжений (IDPS) с помощью Брандмауэр Azure Premium см. в статье .https://aka.ms/fw-idps-signature Audit, Deny, Disabled 1.0.0
Настройка параметров диагностики для групп безопасности сети Azure в рабочей области "Аналитика журналов" Разверните параметры диагностики в группах безопасности сети Azure для потоковой передачи журналов ресурсов в рабочую область Log Analytics. DeployIfNotExists, Disabled 1.0.0
Настройка групп безопасности сети для включения аналитики трафика Аналитику трафика можно включить для всех групп безопасности сети, размещенных в определенном регионе, с параметрами, предоставленными во время создания политики. Если аналитика трафика уже включена, политика не перезаписывает ее параметры. Журналы потоков также включены для групп безопасности сети без аналитики трафика. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.2.0
Настройка групп безопасности сети для использования конкретной рабочей области, учетной записи хранения и политики хранения потоков для аналитики трафика Если аналитика трафика уже включена, политика перезапишет существующие параметры теми параметрами, которые были предоставлены при создании политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.2.0
Настройка виртуальной сети для включения журнала потоков и аналитики трафика Аналитика трафика и журналы потоков можно включить для всех виртуальных сетей, размещенных в определенном регионе, с параметрами, указанными во время создания политики. Эта политика не перезаписывает текущий параметр для виртуальных сетей, которые уже имеют эту функцию. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.1.1
Настройка виртуальных сетей для использования конкретной рабочей области, учетной записи хранения и интервала хранения для журналов потоков и аналитики трафика Если виртуальная сеть уже включена аналитика трафика, эта политика перезаписывает существующие параметры с указанными во время создания политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. DeployIfNotExists, Disabled 1.1.1
Служба Cosmos DB должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Cosmos DB, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Развертывание ресурса журнала потоков в целевой группе безопасности сети Настраивает журнал потоков для определенной группы безопасности сети. Это позволяет регистрировать сведения об IP-трафике, передаваемом через группу безопасности сети. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. deployIfNotExists 1.1.0
Развертывание ресурса журнала потоков с целевой виртуальной сетью Настраивает журнал потоков для конкретной виртуальной сети. Он позволит регистрировать сведения о IP-трафике, проходящим через виртуальную сеть. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. DeployIfNotExists, Disabled 1.1.1
Развертывание наблюдателя за сетями при создании виртуальных сетей Эта политика создает ресурс наблюдателя за сетями в регионах с виртуальными сетями. Необходимо обеспечить наличие группы ресурсов с именем networkWatcherRG, которая будет использоваться для развертывания экземпляров наблюдателя за сетями. Развернуть, если не существует 1.0.0
Включение правила ограничения скорости для защиты от атак DDoS на WAF Azure Front Door Правило ограничения скорости Брандмауэра веб-приложений Azure (WAF) для Azure Front Door управляет разрешенным количеством запросов от определенного IP-адреса клиента к приложению в течение длительности ограничения скорости. Audit, Deny, Disabled 1.0.0
Концентратор событий должен использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех концентраторов событий, не настроенных на использование конечной точки службы виртуальной сети. AuditIfNotExists, Disabled 1.0.0
Политика брандмауэра Premium должна включить все правила подписи IDPS для мониторинга всех входящих и исходящих потоков трафика. Включение всех правил подписи системы обнаружения и предотвращения вторжений (IDPS) повторно выполняется для более эффективной идентификации известных угроз в потоках трафика. Дополнительные сведения о подписях системы обнаружения и предотвращения вторжений (IDPS) с помощью Брандмауэр Azure Premium см. в статье .https://aka.ms/fw-idps-signature Audit, Deny, Disabled 1.0.0
Политика брандмауэра Premium должна включать систему обнаружения и предотвращения вторжений (IDPS) Включение системы обнаружения и предотвращения вторжений (IDPS) позволяет отслеживать сеть для вредоносных действий, записывать сведения об этом действии, сообщать об этом и при необходимости пытаться заблокировать его. Дополнительные сведения о системе обнаружения и предотвращения вторжений (IDPS) с помощью Брандмауэр Azure Premium см. в статьеhttps://aka.ms/fw-idps Audit, Deny, Disabled 1.0.0
Журналы потоков должны быть настроены для каждой группы безопасности сети Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.1.0
Подсети шлюза не следует настраивать с использованием группы безопасности сети. Эта политика запрещает настройку подсети шлюза с помощью группы безопасности сети. Назначение группы безопасности сети для подсети шлюза приведет к тому, что шлюз перестанет работать. запретить 1.0.0
Служба Key Vault должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Key Vault, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Миграция WAF из WAF Config в политику WAF на Шлюз приложений Если у вас есть конфигурация WAF вместо политики WAF, может потребоваться перейти к новой политике WAF. В дальнейшем политика брандмауэра будет поддерживать параметры политики WAF, управляемые наборы правил, исключения и отключенные группы правил. Audit, Deny, Disabled 1.0.0
Сетевые интерфейсы должны отключить перенаправление IP-адресов Эта политика запрещает сетевые интерфейсы с включенным IP-перенаправлением. Параметр "IP-перенаправление" отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure. Эта команда должна быть проверена командой безопасности сети. запретить 1.0.0
Сетевые интерфейсы не должны иметь общедоступных IP-адресов Эта политика запрещает сетевые интерфейсы, настроенные с помощью любого общедоступного IP-адреса. Общедоступные IP-адреса позволяют интернет-ресурсам устанавливать входящие подключения к ресурсам Azure, а ресурсам Azure — исходящие подключения к Интернету. Эта команда должна быть проверена командой безопасности сети. запретить 1.0.0
В журналах потоков Наблюдателя за сетями должна быть включена аналитика трафика Аналитика трафика анализирует журналы потоков для предоставления аналитических сведений о потоке трафика в облаке Azure. Ее можно использовать для визуализации сетевых операций в подписках Azure и выявления активных зон, выявления угроз безопасности, анализа тенденций в потоке трафика, определения проблем с сетью и т. д. Audit, Disabled 1.0.1
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Служба SQL Server должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех SQL Server, не настроенных на использование конечной точки службы виртуальной сети. AuditIfNotExists, Disabled 1.0.0
Учетная запись хранения должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Подписка должна настроить Брандмауэр Azure Premium, чтобы обеспечить дополнительный уровень защиты Брандмауэр Azure Premium обеспечивает расширенную защиту от угроз, которая соответствует потребностям высокочувствительных и регулируемых сред. Разверните Брандмауэр Azure Premium в подписке и убедитесь, что весь трафик службы защищен Брандмауэр Azure Premium. Дополнительные сведения о Брандмауэр Azure Premium см. в статьеhttps://aka.ms/fw-premium AuditIfNotExists, Disabled 1.0.0
Виртуальные машины должны быть подключены к утвержденной виртуальной сети Эта политика используется для аудита любой виртуальной машины, подключенной к виртуальной сети, которая не утверждена. Audit, Deny, Disabled 1.0.0
Виртуальные сети должны быть защищены защитой от атак DDoS Azure Защита виртуальных сетей от атак томных и протоколов с помощью защиты от атак DDoS Azure. Дополнительные сведения см. на странице https://aka.ms/ddosprotectiondocs. Modify, Audit, Disabled 1.0.1
Виртуальным сетям следует использовать указанный шлюз виртуальной сети Эта политика используется для аудита любой виртуальной сети, если маршрут по умолчанию не указывает на конкретный шлюз виртуальной сети. AuditIfNotExists, Disabled 1.0.0
VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть" Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзам потребуются для проверки подлинности только удостоверения Azure Active Directory. Дополнительные сведения о проверке подлинности Azure AD см. в статье, доступной по адресу https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. Audit, Deny, Disabled 1.0.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложений (WAF) должен включить все правила брандмауэра для Шлюза приложений Включение всех правил Брандмауэра веб-приложений (WAF) повышает безопасность приложений и защищает веб-приложения от распространенных уязвимостей. Дополнительные сведения о Брандмауэре веб-приложений для Шлюза приложений см. на странице https://aka.ms/waf-ag Audit, Deny, Disabled 1.0.1
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0

Теги

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление тегов в группы ресурсов Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Существующие группы ресурсов можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. modify 1.0.0
Добавление тегов к ресурсам Добавляет указанный тег и значение при создании или обновлении любого ресурса, пропустившего этот тег. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. Не изменяет теги в группах ресурсов. modify 1.0.0
Добавление тега в подписки Добавляет указанный тег и значение в подписки с помощью задачи исправления. Если тег существует с другим значением, он не изменится. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. modify 1.0.0
Добавление или замена тегов в группах ресурсов Добавляет или заменяет указанный тег и значение при создании или обновлении любой группы ресурсов. Существующие группы ресурсов можно исправить, активировав задачу исправления. modify 1.0.0
Добавление или замена тегов в ресурсах Добавляет или заменяет указанный тег и значение при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. Не изменяет теги в группах ресурсов. modify 1.0.0
Добавление или замена тега в подписках Добавляет указанный тег и значение в подписки или заменяет их с помощью задачи исправления. Существующие группы ресурсов можно исправить, активировав задачу исправления. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. modify 1.0.0
Добавление тега и его значения из группы ресурсов Добавляет указанный тег и его значение из группы ресурсов при создании или обновлении любого ресурса, пропустившего этот тег. Не изменяет теги ресурсов, созданных до применения этой политики, пока эти ресурсы не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). append 1.0.0
Добавление тега и его значения к группам ресурсов Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Не изменяет теги групп ресурсов, созданных до применения этой политики, пока эти группы ресурсов не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). append 1.0.0
Добавление тега и его значения к ресурсам Добавляет указанный тег и значение при создании или обновлении любого ресурса, пропустившего этот тег. Не изменяет теги ресурсов, созданных до применения этой политики, пока эти ресурсы не будут изменены. Не применяется к группам ресурсов. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). append 1.0.1
Наследовать тег из группы ресурсов Добавляет или заменяет указанный тег и значение из родительской группы ресурсов при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. modify 1.0.0
Наследовать тег из группы ресурсов, если он отсутствует Добавляет указанный тег и его значение из родительской группы ресурсов при создании или обновлении любого ресурса, пропустившего этот тег. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. modify 1.0.0
Наследовать тег из подписки Добавляет или заменяет указанный тег и значение из соответствующей подписки при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. modify 1.0.0
Наследовать тег из подписки при его отсутствии Добавляет указанный тег и его значение из соответствующей подписки при создании или обновлении любого ресурса, в котором этот тег отсутствует. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. modify 1.0.0
Требование тега и его значения в группах ресурсов Принудительно задает нужный тег и его значение в группах ресурсов. запретить 1.0.0
Требование тега и его значения в ресурсах Принудительно применяет обязательный тег и его значение. Не применяется к группам ресурсов. запретить 1.0.1
Требование тега в группах ресурсов Принудительное задание тегов в группах ресурсов. запретить 1.0.0
Требование тега в ресурсах Принудительно применяет тег. Не применяется к группам ресурсов. запретить 1.0.1
Требуется, чтобы ресурсы не имели определенного тега. Запрещает создание ресурса, содержащего заданный тег. Не применяется к группам ресурсов. Audit, Deny, Disabled 2.0.0

Общие

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Допустимые расположения Эта политика позволяет ограничить расположения, которые ваша организация может указать при развертывании ресурсов. Используется для соблюдения географических требований. Исключает группы ресурсов, каталоги Microsoft.AzureActiveDirectory/b2cDirectories и ресурсы, в которых используется "глобальный" регион. запретить 1.0.0
Разрешенные расположения для групп ресурсов Эта политика позволяет ограничить расположения, которые ваша организация может указать при создании групп ресурсов. Используется для соблюдения географических требований. запретить 1.0.0
Допустимые типы ресурсов Эта политика позволяет указать типы ресурсов, которые не может развертывать ваша организация. Эта политика затрагивает только типы ресурсов, поддерживающие использование тегов и настройку расположения. Чтобы ограничить все ресурсы, продублируйте эту политику и измените значение режима на All (Все). запретить 1.0.0
Аудит соответствия расположения группы и ресурса Аудит, в ходе которого проверяется, соответствует ли расположение ресурса расположению его группы audit 2.0.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Настройка подписок для настройки предварительных версий функций Эта политика оценивает существующие функции предварительной версии подписки. Подписки можно исправить, чтобы зарегистрировать новую предварительную версию функции. Новые подписки не будут автоматически зарегистрированы. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.1
Не разрешать удаление типов ресурсов Эта политика позволяет указать типы ресурсов, которые ваша организация может защитить от случайного удаления, блокируя вызовы удаления с помощью эффекта запрета действия. DenyAction, Disabled 1.0.1
Не разрешать ресурсы M365 Блокировать создание ресурсов M365. Audit, Deny, Disabled 1.0.0
Не разрешать ресурсы MCPP Блокировать создание ресурсов MCPP. Audit, Deny, Disabled 1.0.0
Исключение ресурсов затрат на использование Эта политика позволяет использовать ресурсы затрат на использование. Затраты на использование включают такие вещи, как хранилище с учетом лимитного использования и ресурсы Azure, которые выставляются на основе использования. Audit, Deny, Disabled 1.0.0
Недопустимые типы ресурсов Ограничьте типы ресурсов, которые могут быть развернуты в вашей среде. Ограничение типов ресурсов позволяет снизить сложность и направления атаки среды, а также помогает управлять затратами. Результаты обеспечения соответствия отображаются только для несоответствующих ресурсов. Audit, Deny, Disabled 2.0.0

Следующие шаги