Inbyggda Azure Policy-definitioner för Azure Virtual Network
Den här sidan är ett index över inbyggda principdefinitioner för Azure Policy för Azure Virtual Network. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Virtual Network
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Container Registry bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla containerregister som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0-preview |
| En anpassad IPsec/IKE-princip måste tillämpas på alla azure-anslutningar för virtuella nätverksgatewayer | Den här principen säkerställer att alla anslutningar för virtuella Azure-nätverksgatewayer använder en anpassad IKE-princip (Internet Protocol Security(Ipsec)/Internet Key Exchange(IKE). Algoritmer och viktiga styrkor som stöds – https://aka.ms/AA62kb0 | Granskning, inaktiverad | 1.0.0 |
| Alla flödesloggresurser ska vara i aktiverat tillstånd | Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| App Service-appar bör använda en tjänstslutpunkt för virtuellt nätverk | Använd tjänstslutpunkter för virtuella nätverk för att begränsa åtkomsten till din app från valda undernät från ett virtuellt Azure-nätverk. Mer information om App Service-tjänstslutpunkter finns i https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska flödesloggkonfiguration för varje virtuellt nätverk | Granska för virtuellt nätverk för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom det virtuella nätverket. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| Azure Application Gateway ska distribueras med Azure WAF | Kräver att Azure Application Gateway-resurser distribueras med Azure WAF. | Granska, neka, inaktiverad | 1.0.0 |
| Klassiska Azure Firewall-regler ska migreras till brandväggsprincipen | Migrera från klassiska Azure Firewall-regler till brandväggsprincipen för att använda centrala hanteringsverktyg som Azure Firewall Manager. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Firewall Policy Analytics ska vara aktiverat | Aktivering av principanalys ger bättre insyn i trafik som flödar via Azure Firewall, vilket möjliggör optimering av brandväggskonfigurationen utan att påverka programmets prestanda | Granskning, inaktiverad | 1.0.0 |
| Azure Firewall Policy bör aktivera hotinformation | Filtrering baserad på hotinformation kan aktiveras för brandväggen om du vill varna om och neka trafik från/till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Firewall-principen ska ha DNS-proxy aktiverad | Om du aktiverar DNS-proxyn blir Azure Firewall associerad med den här principen för att lyssna på port 53 och vidarebefordra DNS-begäranden till den angivna DNS-servern | Granskning, inaktiverad | 1.0.0 |
| Azure Firewall bör distribueras för att omfatta flera tillgänglighetszoner | För ökad tillgänglighet rekommenderar vi att du distribuerar azure-brandväggen så att den omfattar flera tillgänglighetszoner. Detta säkerställer att Din Azure Firewall förblir tillgänglig i händelse av ett zonfel. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Firewall Standard – klassiska regler bör aktivera hotinformation | Filtrering baserad på hotinformation kan aktiveras för brandväggen om du vill varna om och neka trafik från/till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Firewall Standard bör uppgraderas till Premium för nästa generations skydd | Om du letar efter nästa generations skydd som IDPS- och TLS-inspektion bör du överväga att uppgradera Azure Firewall till Premium-SKU:n. | Granska, neka, inaktiverad | 1.0.0 |
| Azure VPN-gatewayer bör inte använda "grundläggande" SKU | Den här principen säkerställer att VPN-gatewayer inte använder "grundläggande" SKU. | Granskning, inaktiverad | 1.0.0 |
| Azure Web Application Firewall på Azure Application Gateway bör ha kontroll av begärandetext aktiverat | Se till att brandväggar för webbprogram som är associerade med Azure Application Gateways har kontroll av begärandetext aktiverad. Detta gör att WAF kan inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web Application Firewall på Azure Front Door bör ha begärandetextkontroll aktiverad | Se till att brandväggar för webbprogram som är associerade med Azure Front Doors har kontroll av begärandetext aktiverat. Detta gör att WAF kan inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Bot Protection ska vara aktiverat för Azure Application Gateway WAF | Den här principen säkerställer att robotskyddet är aktiverat i alla Waf-principer (Web Application Gateway Web Application Firewall) | Granska, neka, inaktiverad | 1.0.0 |
| Bot Protection ska vara aktiverat för Azure Front Door WAF | Den här principen säkerställer att robotskydd är aktiverat i alla WaF-principer (Azure Front Door Web Application Firewall) | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera diagnostikinställningar för Azure-nätverkssäkerhetsgrupper till Log Analytics-arbetsytan | Distribuera diagnostikinställningar till Azure Network Security Groups för att strömma resursloggar till en Log Analytics-arbetsyta. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera nätverkssäkerhetsgrupper för att aktivera trafikanalys | Trafikanalys kan aktiveras för alla nätverkssäkerhetsgrupper som finns i en viss region med de inställningar som anges när principen skapas. Om trafikanalys redan har aktiverats skriver principen inte över inställningarna. Flödesloggar är också aktiverade för nätverkssäkerhetsgrupper som inte har den. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera nätverkssäkerhetsgrupper för att använda en specifik arbetsyta, lagringskonto och kvarhållningsprincip för flödesloggar för trafikanalys | Om trafikanalys redan har aktiverats skriver principen över sina befintliga inställningar med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera virtuellt nätverk för att aktivera flödeslogg och trafikanalys | Trafikanalys och flödesloggar kan aktiveras för alla virtuella nätverk som finns i en viss region med de inställningar som anges när principen skapas. Den här principen skriver inte över den aktuella inställningen för virtuella nätverk som redan har funktionen aktiverad. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.1.1 |
| Konfigurera virtuella nätverk för att framtvinga arbetsyta, lagringskonto och kvarhållningsintervall för Flödesloggar och Traffic Analytics | Om ett virtuellt nätverk redan har trafikanalys aktiverat skriver den här principen över sina befintliga inställningar med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Cosmos DB-databaser som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Distribuera en flödesloggresurs med målnätverkssäkerhetsgruppen | Konfigurerar flödesloggen för en specifik nätverkssäkerhetsgrupp. Det gör det möjligt att logga information om IP-trafik som flödar via en nätverkssäkerhetsgrupp. Flödesloggen hjälper till att identifiera okänd eller oönstrade trafik, verifiera nätverksisolering och efterlevnad av företagets åtkomstregler, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. | deployIfNotExists | 1.1.0 |
| Distribuera en flödesloggresurs med ett virtuellt målnätverk | Konfigurerar flödesloggen för ett specifikt virtuellt nätverk. Det gör det möjligt att logga information om IP-trafik som flödar genom ett virtuellt nätverk. Flödesloggen hjälper till att identifiera okänd eller oönstrade trafik, verifiera nätverksisolering och efterlevnad av företagets åtkomstregler, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. | DeployIfNotExists, inaktiverad | 1.1.1 |
| Distribuera network watcher när virtuella nätverk skapas | Den här principen skapar en resurs för nätverksbevakare i regioner med virtuella nätverk. Du måste se till att det finns en resursgrupp med namnet networkWatcherRG, som ska användas för att distribuera nätverksbevakarinstanser. | DeployIfNotExists | 1.0.0 |
| Aktivera hastighetsbegränsningsregel för att skydda mot DDoS-attacker på Azure Front Door WAF | Hastighetsbegränsningsregeln för Azure Web Application Firewall (WAF) för Azure Front Door styr antalet begäranden som tillåts från en viss klient-IP-adress till programmet under en hastighetsgräns. | Granska, neka, inaktiverad | 1.0.0 |
| Event Hub ska använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla händelsehubbar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Gateway-undernät ska inte konfigureras med en nätverkssäkerhetsgrupp | Den här principen nekar om ett gateway-undernät har konfigurerats med en nätverkssäkerhetsgrupp. Om du tilldelar en nätverkssäkerhetsgrupp till ett gatewayundernät slutar gatewayen att sluta fungera. | avvisa | 1.0.0 |
| Key Vault bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Nyckelvalv som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Migrera WAF från WAF Config till WAF-princip på Application Gateway | Om du har WAF-konfiguration i stället för WAF-princip kanske du vill flytta till den nya WAF-principen. Framöver stöder brandväggsprincipen WAF-principinställningar, hanterade regeluppsättningar, undantag och inaktiverade regelgrupper. | Granska, neka, inaktiverad | 1.0.0 |
| Nätverksgränssnitt bör inaktivera IP-vidarebefordran | Den här principen nekar de nätverksgränssnitt som aktiverade IP-vidarebefordran. Inställningen för IP-vidarebefordran inaktiverar Azures kontroll av källan och målet för ett nätverksgränssnitt. Detta bör granskas av nätverkssäkerhetsteamet. | avvisa | 1.0.0 |
| Nätverksgränssnitt bör inte ha offentliga IP-adresser | Den här principen nekar de nätverksgränssnitt som har konfigurerats med offentliga IP-adresser. Offentliga IP-adresser gör det möjligt för Internet-resurser att kommunicera ingående till Azure-resurser och Azure-resurser att kommunicera utgående till Internet. Detta bör granskas av nätverkssäkerhetsteamet. | avvisa | 1.0.0 |
| Network Watcher-flödesloggar bör ha trafikanalys aktiverat | Trafikanalys analyserar flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverket med mera. | Granskning, inaktiverad | 1.0.1 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Offentliga IP-adresser och offentliga IP-prefix ska ha taggen FirstPartyUsage | Kontrollera att alla offentliga IP-adresser och offentliga IP-prefix har taggen FirstPartyUsage. | Granska, neka, inaktiverad | 1.0.0 |
| SQL Server bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla SQL Server-servrar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla lagringskonton som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Undernät ska vara privata | Se till att dina undernät är säkra som standard genom att förhindra utgående standardåtkomst. Mer information finns i https://aka.ms/defaultoutboundaccessretirement | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella hubbar ska skyddas med Azure Firewall | Distribuera en Azure Firewall till dina virtuella hubbar för att skydda och kontrollera utgående och inkommande internettrafik på ett detaljerat sätt. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska vara anslutna till ett godkänt virtuellt nätverk | Den här principen granskar alla virtuella datorer som är anslutna till ett virtuellt nätverk som inte har godkänts. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella nätverk bör skyddas av Azure DDoS Protection | Skydda dina virtuella nätverk mot volym- och protokollattacker med Azure DDoS Protection. Mer information finns på https://aka.ms/ddosprotectiondocs. | Ändra, granska, inaktiverad | 1.0.1 |
| Virtuella nätverk bör använda angiven virtuell nätverksgateway | Den här principen granskar alla virtuella nätverk om standardvägen inte pekar på den angivna virtuella nätverksgatewayen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory-identiteter för autentisering. Läs mer om Azure AD-autentisering på https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Granska, neka, inaktiverad | 1.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Taggar
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till en tagg i resursgrupper | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Lägg till en tagg i resurser | Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. Taggar för resursgrupper ändras inte. | modify | 1.0.0 |
| Lägga till en tagg i prenumerationer | Lägger till den angivna taggen och värdet i prenumerationer via en reparationsaktivitet. Om taggen finns med ett annat värde kommer den inte att ändras. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resursgrupper | Lägger till eller ersätter den angivna taggen och värdet när en resursgrupp skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resurser | Lägger till eller ersätter den angivna taggen och värdet när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Taggar för resursgrupper ändras inte. | modify | 1.0.0 |
| Lägga till eller ersätta en tagg i prenumerationer | Lägger till eller ersätter den angivna taggen och värdet för prenumerationer via en reparationsaktivitet. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till en tagg och dess värde från resursgruppen | Lägger till den angivna taggen och värdet från resursgruppen när en resurs som saknar taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapats innan principen tillämpades förrän resurserna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Lägg till en tagg och dess värde i resursgrupperna | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resursgrupper som skapats innan principen tillämpades förrän resursgrupperna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Lägg till en tagg och dess värde till resurserna | Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapats innan principen tillämpades förrän resurserna har ändrats. Avser inte resursgrupper. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.1 |
| Ärv en tagg från resursgruppen | Lägger till eller ersätter den angivna taggen och värdet från den överordnade resursgruppen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Ärv en tagg från resursgruppen om den saknas | Lägger till den angivna taggen och värdet från den överordnade resursgruppen när en resurs som saknar taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Ärv en tagg från prenumerationen | Lägger till eller ersätter den angivna taggen och värdet i den överordnade prenumerationen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Ärv en tagg från prenumerationen om den saknas | Lägger till den angivna taggen och värdet från den innehållna prenumerationen när en resurs som saknar taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Kräv en tagg och dess värde i resursgrupper | Lägger till en nödvändig tagg och dess värde i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg och dess värde i resurser | Lägger till en nödvändig tagg och dess värde. Avser inte resursgrupper. | avvisa | 1.0.1 |
| Kräv en tagg i resursgrupper | Framtvingar förekomst av en tagg i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg i resurser | Framtvingar förekomst av en tagg. Avser inte resursgrupper. | avvisa | 1.0.1 |
Allmänt
| Namn (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillåtna platser | Med den här principen kan du begränsa vilka platser som organisationen kan ange när den distribuerar resurser. Den används för att genomdriva kraven på geo-efterlevnad. Resursgrupper, Microsoft.AzureActiveDirectory/b2cDirectories och resurser som använder regionen ”global” undantas. | avvisa | 1.0.0 |
| Tillåtna platser för resursgrupper | Med den här principen kan du begränsa de platser som din organisation kan skapa resursgrupper i. Den används för att genomdriva kraven på geo-efterlevnad. | avvisa | 1.0.0 |
| Tillåtna resurstyper | Med den här principen kan du ange de resurstyper som din organisation kan distribuera. Endast resurstyper som stöder "taggar" och "plats" påverkas av den här principen. Om du vill begränsa alla resurser duplicerar du den här principen och ändrar läget till "Alla". | avvisa | 1.0.0 |
| Granskningsresursplatsen matchar resursgruppens plats | Granska att resursplatsen matchar resursgruppens plats | granska | 2.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Konfigurera prenumerationer för att konfigurera förhandsversionsfunktioner | Den här principen utvärderar den befintliga prenumerationens förhandsversionsfunktioner. Prenumerationer kan åtgärdas för att registrera sig för en ny förhandsversionsfunktion. Nya prenumerationer registreras inte automatiskt. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.1 |
| Tillåt inte borttagning av resurstyper | Med den här principen kan du ange de resurstyper som din organisation kan skydda mot oavsiktlig borttagning genom att blockera borttagningsanrop med hjälp av åtgärden Neka. | DenyAction, inaktiverad | 1.0.1 |
| Tillåt inte M365-resurser | Blockera skapandet av M365-resurser. | Granska, neka, inaktiverad | 1.0.0 |
| Tillåt inte MCPP-resurser | Blockera skapandet av MCPP-resurser. | Granska, neka, inaktiverad | 1.0.0 |
| Exkludera resurser för användningskostnader | Med den här principen kan du använda resurser för användningskostnader. Användningskostnader omfattar saker som lagring med dataförbrukning och Azure-resurser som faktureras baserat på användning. | Granska, neka, inaktiverad | 1.0.0 |
| Otillåtna resurstyper | Begränsa vilka resurstyper som kan distribueras i din miljö. Att begränsa resurstyper kan minska komplexiteten och angreppsytan i din miljö samtidigt som det hjälper till att hantera kostnader. Efterlevnadsresultat visas endast för icke-kompatibla resurser. | Granska, neka, inaktiverad | 2.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.