Inbyggda Definitioner för Azure Policy för Azure Resource Manager
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Resource Manager. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Resource Manager
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lägg till en tagg i resursgrupper | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Lägga till en tagg i prenumerationer | Lägger till den angivna taggen och värdet i prenumerationer via en reparationsaktivitet. Om taggen finns med ett annat värde kommer den inte att ändras. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resursgrupper | Lägger till eller ersätter den angivna taggen och värdet när en resursgrupp skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Lägga till eller ersätta en tagg i prenumerationer | Lägger till eller ersätter den angivna taggen och värdet för prenumerationer via en reparationsaktivitet. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Tillåtna platser för resursgrupper | Med den här principen kan du begränsa de platser som din organisation kan skapa resursgrupper i. Den används för att genomdriva kraven på geo-efterlevnad. | avvisa | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lägg till en tagg och dess värde i resursgrupperna | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resursgrupper som skapats innan principen tillämpades förrän resursgrupperna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Monitor-lösningen "Säkerhet och granskning" måste distribueras | Den här principen säkerställer att säkerhet och granskning distribueras. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure-aktivitetsloggar för att strömma till en angiven Log Analytics-arbetsyta | Distribuerar diagnostikinställningarna för Azure-aktivitet för att strömma granskningsloggar för prenumerationer till en Log Analytics-arbetsyta för att övervaka händelser på prenumerationsnivå | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för App Service till aktiverad | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för Azure SQL-databasen till aktiverad | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för relationsdatabaser med öppen källkod till aktiverad | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för Resource Manager ska aktiveras | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure Defender för servrar till aktiverad | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Azure Defender för SQL-servrar på datorer till aktiverad | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera grundläggande Microsoft Defender för Lagring som ska aktiveras (endast aktivitetsövervakning) | Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Den här principen aktiverar de grundläggande funktionerna i Defender för lagring (aktivitetsövervakning). Om du vill aktivera fullständigt skydd, som även omfattar genomsökning av skadlig kod vid uppladdning och identifiering av känsligt datahot, använder du den fullständiga aktiveringsprincipen: aka.ms/DefenderForStoragePolicy. Mer information om funktioner och fördelar med Defender för lagring finns i aka.ms/DefenderForStorage. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera haveriberedskap på virtuella datorer genom att aktivera replikering via Azure Site Recovery | Virtuella datorer utan konfigurationer för haveriberedskap är sårbara för avbrott och andra störningar. Om den virtuella datorn inte redan har konfigurerat haveriberedskap initierar detta samma genom att aktivera replikering med hjälp av förinställda konfigurationer för att underlätta affärskontinuitet. Du kan också inkludera/exkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Konfigurera Log Analytics-arbetsyta och automationskonto för att centralisera loggar och övervakning | Distribuera resursgrupp som innehåller Log Analytics-arbetsytan och det länkade automationskontot för att centralisera loggar och övervakning. Automation-kontot är en förutsättning för lösningar som uppdateringar och ändringsspårning. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.0 |
| Konfigurera Microsoft Defender CSPM-plan | Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender CSPM till aktiverat | Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet. | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera Microsoft Defender för Azure Cosmos DB till aktiverad | Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för containrar-plan | Nya funktioner läggs kontinuerligt till i Defender for Containers-planen, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender for Containers som ska aktiveras | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Microsoft Defender za krajnju tačku integreringsinställningar med Microsoft Defender för molnet (WDATP_EXCLUDE_LINUX...) | Konfigurerar Microsoft Defender za krajnju tačku integreringsinställningar i Microsoft Defender för molnet (kallas även WDATP_EXCLUDE_LINUX_...) för att aktivera automatisk etablering av MDE för Linux-servrar. WDATP-inställningen måste vara aktiverad för att den här inställningen ska tillämpas. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender za krajnju tačku integreringsinställningar med Microsoft Defender för molnet (WDATP_UNIFIED_SOLUTION) | Konfigurerar Microsoft Defender za krajnju tačku integreringsinställningar i Microsoft Defender för molnet (även kallat WDATP_UNIFIED_SOLUTION) för att aktivera automatisk etablering av MDE Unified Agent för Windows Server 2012R2 och 2016. WDATP-inställningen måste vara aktiverad för att den här inställningen ska tillämpas. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender za krajnju tačku integreringsinställningar med Microsoft Defender för molnet (WDATP) | Konfigurerar Microsoft Defender za krajnju tačku integreringsinställningar i Microsoft Defender för molnet (även kallat WDATP), för Windows-datorer med låg nivå som registrerats på MDE via MMA och automatisk etablering av MDE på Windows Server 2019 , Windows Virtual Desktop och senare. Måste vara aktiverat för att de andra inställningarna (WDATP_UNIFIED osv.) ska fungera. Mer information finns i: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Microsoft Defender för Key Vault-plan | Microsoft Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Microsoft Defender för servrar-plan | Nya funktioner läggs kontinuerligt till i Defender för servrar, vilket kan kräva användarens explicita aktivering. Använd den här principen för att se till att alla nya funktioner är aktiverade. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera microsoft Defender för lagring (klassisk) som ska aktiveras | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | DeployIfNotExists, inaktiverad | 1.0.2 |
| Konfigurera att Microsoft Defender för Storage ska aktiveras | Microsoft Defender för Storage är ett Azure-inbyggt lager av säkerhetsinformation som identifierar potentiella hot mot dina lagringskonton. Den här principen aktiverar alla Defender for Storage-funktioner. Aktivitetsövervakning, skanning av skadlig kod och identifiering av känsligt datahot. Mer information om funktioner och fördelar med Defender för lagring finns i aka.ms/DefenderForStorage. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera prenumerationer för att konfigurera förhandsversionsfunktioner | Den här principen utvärderar den befintliga prenumerationens förhandsversionsfunktioner. Prenumerationer kan åtgärdas för att registrera sig för en ny förhandsversionsfunktion. Nya prenumerationer registreras inte automatiskt. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.1 |
| Distribuera – Konfigurera regler för undertryckning för Azure Security Center-aviseringar | Förhindra Azure Security Center-aviseringar för att minska tröttheten på aviseringar genom att distribuera regler för undertryckning i hanteringsgruppen eller prenumerationen. | deployIfNotExists | 1.0.0 |
| Distribuera export till Event Hub som en betrodd tjänst för Microsoft Defender för molndata | Aktivera export till Event Hub som en betrodd tjänst för Microsoft Defender för molndata. Den här principen distribuerar en export till Event Hub som en betrodd tjänstkonfiguration med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Distribuera export till Event Hub för Microsoft Defender för molndata | Aktivera export till Event Hub för Microsoft Defender för molndata. Den här principen distribuerar en export till Event Hub-konfigurationen med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 4.2.0 |
| Distribuera export till Log Analytics-arbetsytan för Microsoft Defender för molndata | Aktivera export till Log Analytics-arbetsytan för Microsoft Defender för molndata. Den här principen distribuerar en export till Log Analytics-arbetsytekonfigurationen med dina villkor och målarbetsytan i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 4.1.0 |
| Distribuera arbetsflödesautomation för Microsoft Defender för moln-aviseringar | Aktivera automatisering av Microsoft Defender för molnaviseringar. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| Distribuera arbetsflödesautomation för Microsoft Defender för moln-rekommendationer | Aktivera automatisering av rekommendationer för Microsoft Defender för molnet. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| Distribuera arbetsflödesautomation för Microsoft Defender för molnets regelefterlevnad | Aktivera automatisering av regelefterlevnad i Microsoft Defender för molnet. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare i det tilldelade omfånget. Om du vill distribuera den här principen för nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 5.0.1 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Aktivera Microsoft Defender för molnet i din prenumeration | Identifierar befintliga prenumerationer som inte övervakas av Microsoft Defender för molnet och skyddar dem med defender för molnets kostnadsfria funktioner. Prenumerationer som redan övervakas anses vara kompatibla. Om du vill registrera nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. | deployIfNotExists | 1.0.1 |
| Aktivera Automatisk etablering av Log Analytics-agenten i dina prenumerationer med anpassad arbetsyta. | Tillåt att Security Center automatiskt etablerar Log Analytics-agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med hjälp av en anpassad arbetsyta. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Aktivera automatisk etablering av Log Analytics-agenten i dina prenumerationer med standardarbetsyta. | Tillåt att Security Center automatiskt etablerar Log Analytics-agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med asc-standardarbetsytan. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Exkludera resurser för användningskostnader | Med den här principen kan du använda resurser för användningskostnader. Användningskostnader omfattar saker som lagring med dataförbrukning och Azure-resurser som faktureras baserat på användning. | Granska, neka, inaktiverad | 1.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender CSPM bör vara aktiverat | Defender Cloud Security Posture Management (CSPM) ger förbättrade hållningsfunktioner och ett nytt intelligent molnsäkerhetsdiagram som hjälper dig att identifiera, prioritera och minska risken. Defender CSPM är tillgängligt utöver de kostnadsfria grundläggande säkerhetsstatusfunktionerna som är aktiverade som standard i Defender för molnet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för API:er ska vara aktiverat | Microsoft Defender för API:er ger ny identifiering, skydd, identifiering och svarstäckning för att övervaka vanliga API-baserade attacker och säkerhetsfelkonfigurationer. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för Azure Cosmos DB bör vara aktiverat | Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Kräv en tagg och dess värde i resursgrupper | Lägger till en nödvändig tagg och dess värde i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg i resursgrupper | Framtvingar förekomst av en tagg i resursgrupper. | avvisa | 1.0.0 |
| Konfigurera prenumerationer för övergång till en alternativ lösning för sårbarhetsbedömning | Microsoft Defender för molnet erbjuder sårbarhetsgenomsökning för dina datorer utan extra kostnad. Om du aktiverar den här principen sprids resultaten automatiskt från den inbyggda Microsoft Defender-upravljanje ranjivostima lösningen till alla datorer som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för