Dela via


Information om det inbyggda initiativet IRS 1075 September 2016 (Azure Government) Regulatory Compliance

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i IRS 1075 september 2016 (Azure Government). Mer information om den här efterlevnadsstandarden finns i IRS 1075 september 2016. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar gäller kontrollerna för IRS 1075 september 2016 . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen IRS1075 september 2016 .

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Åtkomstkontroll

Fjärråtkomst (AC-17)

ID: IRS 1075 9.3.1.12

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord AuditIfNotExists, inaktiverad 1.4.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.4.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1

Kontohantering (AC-2)

ID: IRS 1075 9.3.1.2

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Tillämpning av informationsflöde (AC-4)

ID: IRS 1075 9.3.1.4

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0

Ansvarsfördelning (AC-5)

ID: IRS 1075 9.3.1.5

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0

Lägsta behörighet (AC-6)

ID: IRS 1075 9.3.1.6

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0

Riskbedömning

Sårbarhetsgenomsökning (RA-5)

ID: IRS 1075 9.3.14.3

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0

System- och kommunikationsskydd

Skydd av information i vila (SC-28)

ID: IRS 1075 9.3.16.15

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven AuditIfNotExists, inaktiverad 2.0.0

Denial of Service Protection (SC-5)

ID: IRS 1075 9.3.16.4

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure DDoS Protection ska vara aktiverat DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, inaktiverad 3.0.1

Gränsskydd (SC-7)

ID: IRS 1075 9.3.16.5

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1

Sekretess och integritet för överföring (SC-8)

ID: IRS 1075 9.3.16.6

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 3.0.1

System- och informationsintegritet

Felreparation (SI-2)

ID: IRS 1075 9.3.17.2

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0

Övervakning av informationssystem (SI-4)

ID: IRS 1075 9.3.17.4

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1-förhandsversion
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1
Virtuella datorer ska vara anslutna till en angiven arbetsyta Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0

Medvetenhet och utbildning

Granskningsgenerering (AU-12)

ID: IRS 1075 9.3.3.11

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1-förhandsversion
Granska diagnostikinställningen för valda resurstyper Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. AuditIfNotExists 2.0.1
Granskning på SQL-servern ska vara aktiverad Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1
Virtuella datorer ska vara anslutna till en angiven arbetsyta Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0

Innehåll i granskningsposter (AU-3)

ID: IRS 1075 9.3.3.3

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1-förhandsversion
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1
Virtuella datorer ska vara anslutna till en angiven arbetsyta Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0

Svar på granskningsbearbetningsfel (AU-5)

ID: IRS 1075 9.3.3.5

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska diagnostikinställningen för valda resurstyper Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. AuditIfNotExists 2.0.1
Granskning på SQL-servern ska vara aktiverad Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2

Granskningsgranskning, analys och rapportering (AU-6)

ID: IRS 1075 9.3.3.6

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1-förhandsversion
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, inaktiverad 2.0.1
Virtuella datorer ska vara anslutna till en angiven arbetsyta Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0

Beredskapsplanering

Alternativ bearbetningsplats (CP-7)

ID: IRS 1075 9.3.6.6

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Identifiering och autentisering

Identifiering och autentisering (organisationsanvändare) (IA-2)

ID: IRS 1075 9.3.7.2

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0

Autentiseringshantering (IA-5)

ID: IRS 1075 9.3.7.5

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 AuditIfNotExists, inaktiverad 1.4.0
Granska Linux-datorer som har konton utan lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord AuditIfNotExists, inaktiverad 1.4.0
Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 AuditIfNotExists, inaktiverad 1.1.0
Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar AuditIfNotExists, inaktiverad 1.1.0
Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag AuditIfNotExists, inaktiverad 1.1.0
Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad AuditIfNotExists, inaktiverad 1.0.0
Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken AuditIfNotExists, inaktiverad 1.1.0
Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering AuditIfNotExists, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.4.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0

Nästa steg

Ytterligare artiklar om Azure Policy: