Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfa, Azure Virtual Network için Azure Policy yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure Policy yerleşikleri için bkz. Azure Policy yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. kaynağı Azure Policy GitHub deposunda görüntülemek için Version sütunundaki bağlantıyı kullanın.
Azure Sanal Ağ
| Name (Azure portalı) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Firewall veya desteklenen bir yeni nesil güvenlik duvarı ile alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | DenetleEğerMevcutDeğilse, Devre Dışı | 3.0.0-preview | |
| [Önizleme]: Container Registry bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Container Registry'leri denetler. | Denetim, Etkin Değil | 1.0.0-preview |
| A özel IPsec/IKE ilkesi tüm Azure sanal ağ geçidi bağlantılarına uygulanmalıdır | Bu ilke, tüm Azure sanal ağ geçidi bağlantılarının özel bir İnternet Protokolü Güvenliği (Ipsec)/İnternet Anahtarı Exchange(IKE) ilkesi kullanmasını sağlar. Desteklenen algoritmalar ve anahtar güçlü yönleri - https://aka.ms/AA62kb0 | Denetim, Etkin Değil | 1.0.0 |
| Tüm akış günlüğü kaynakları etkin durumda olmalıdır | Akış günlüğü durumunun etkinleştirilip etkinleştirilmediğini doğrulamak için akış günlüğü kaynaklarını denetleyin. Akış günlüklerinin etkinleştirilmesi, IP trafiği akışı hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Etkin Değil | 1.0.1 |
| App Service uygulamaları sanal ağ hizmet uç noktası kullanmalıdır | Azure bir sanal ağdan seçilen alt ağlardan uygulamanıza erişimi kısıtlamak için sanal ağ hizmet uç noktalarını kullanın. App Service hizmet uç noktaları hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/appservice-vnet-service-endpoint. | DenetleEğerMevcutDeğilse, Devre Dışı | 2.0.1 |
| Her sanal ağ için denetim akışı günlükleri yapılandırması | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için sanal ağ denetimi. Akış günlüklerinin etkinleştirilmesi, sanal ağ üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Etkin Değil | 1.0.1 |
| Kapsayıcılar için Azure Application Gateway güvenlik ilkelerine sahip olmalıdır | Konteynerler için Uygulama Geçidi için en az bir güvenlik politikası yapılandırıldığından emin olur | DenetleEğerMevcutDeğilse, Devre Dışı | 1.0.0 |
| Azure WAF ile Azure Application Gateway kaynaklarının dağıtılması gerekir. | Denetim, Reddetme, Devre Dışı | 1.0.0 | |
| Azure Firewall Klasik Kuralları Güvenlik Duvarı İlkesi'ne geçirilmelidir | Azure Firewall Manager gibi merkezi yönetim araçlarını kullanmak için Azure Firewall Klasik Kurallar'dan Güvenlik Duvarı İlkesi'ne geçiş yapın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Firewall İlke Analizi Etkinleştirilmelidir | İlke Analizi'nin etkinleştirilmesi, Azure Firewall üzerinden akan trafik için gelişmiş görünürlük sağlayarak uygulama performansınızı etkilemeden güvenlik duvarı yapılandırmanızın iyileştirilmesini sağlar | Denetim, Etkin Değil | 1.0.0 |
| Güvenlik duvarınızda tehdit analizi tabanlı filtrelemeyi etkinleştirerek bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen/giden trafiği reddedebilir ve uyarı oluşturulmasını sağlayabilirsiniz. IP adresleri ve etki alanları Microsoft Tehdit Bilgileri akışından alınır. | Denetim, Reddetme, Devre Dışı | 1.0.0 | |
| Azure Firewall İlkesinde DNS Ara Sunucusu Etkin olmalıdır | DNS Proxy'sinin etkinleştirilmesi, bu ilkeyle ilişkilendirilmiş Azure Firewall bağlantı noktası 53'te dinlemesini ve DNS isteklerini belirtilen DNS sunucusuna iletmesini sağlar | Denetim, Etkin Değil | 1.0.0 |
| Daha fazla kullanılabilirlik için Azure Firewall birden çok Availability Zones yaymak üzere dağıtmanızı öneririz. Bu, bölge hatası durumunda Azure Firewall kullanılabilir durumda kalmasını sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 | |
| Güvenlik duvarınızda tehdit analizi tabanlı filtrelemeyi etkinleştirerek bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen/giden trafiği reddedebilir ve uyarı oluşturulmasını sağlayabilirsiniz. IP adresleri ve etki alanları Microsoft Tehdit Bilgileri akışından alınır. | Denetim, Reddetme, Devre Dışı | 1.0.0 | |
| Azure Firewall Standard, yeni nesil koruma için Premium'a yükseltilmelidir | IDPS ve TLS incelemesi gibi yeni nesil koruma arıyorsanız, Azure Firewall Premium sku'ya yükseltmeyi düşünmelisiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bu ilke, VPN ağ geçitlerinin 'temel' SKU kullanmamasını sağlar. | Denetim, Etkin Değil | 1.0.0 | |
| Azure Application Gateway Azure Web Application Firewall istek gövdesi incelemesi etkinleştirilmelidir | Azure Application Ağ Geçitleriyle ilişkilendirilmiş Web Uygulaması Güvenlik Duvarlarında İstek gövdesi incelemesinin etkinleştirildiğinden emin olun. Bu, WAF'nin HTTP gövdesinde HTTP üst bilgilerinde, tanımlama bilgilerinde veya URI'de değerlendirilemeyebilir özellikleri incelemesine olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door Azure Web Application Firewall istek gövdesi incelemesi etkinleştirilmelidir | Azure Front Door ile ilişkilendirilmiş Web Uygulaması Güvenlik Duvarlarında istek gövdesi incelemesinin etkinleştirildiğinden emin olun. Bu, WAF'nin HTTP gövdesinde HTTP üst bilgilerinde, tanımlama bilgilerinde veya URI'de değerlendirilemeyebilir özellikleri incelemesine olanak tanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Web Application Firewall Azure Front Door giriş noktaları için etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Application Firewall (WAF) dağıtın. Web Application Firewall (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi olarak korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Application Gateway WAFBot Koruması etkinleştirilmelidir> | Bu ilke, bot korumasının tüm Azure Application Gateway Web Application Firewall (WAF) ilkelerinde etkinleştirilmesini sağlar | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Front Door WAFBot Koruması etkinleştirilmelidir> | Bu ilke, bot korumasının tüm Azure Front Door Web Application Firewall (WAF) ilkelerinde etkinleştirilmesini sağlar | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Ağ Güvenlik Gruplarının çalışma alanını Log Analytics tanılama ayarlarını yapılandırın | Kaynak günlüklerini Log Analytics çalışma alanına aktarmak için tanılama ayarlarını Azure Ağ Güvenlik Gruplarına dağıtın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Trafik analizini etkinleştirmek için ağ güvenlik gruplarını yapılandırma | trafik analizi, ilke oluşturma sırasında sağlanan ayarlarla belirli bir bölgede barındırılan tüm ağ güvenlik grupları için etkinleştirilebilir. Trafik analizi zaten etkinse ilke ayarlarının üzerine yazılmaz. Akış Günlükleri, sahip olmayan Ağ güvenlik grupları için de etkinleştirilir. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Ağ güvenlik gruplarını trafik analizi için belirli çalışma alanını, depolama hesabını ve akış günlüğü saklama ilkesini kullanacak şekilde yapılandırma | Trafik analizi zaten etkinse ilke, ilke oluşturma sırasında sağlananlarla mevcut ayarlarının üzerine yazar. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Akış Günlüğünü ve Trafik Analizini etkinleştirmek için sanal ağı yapılandırma | Trafik analizi ve Akış günlükleri, ilke oluşturma sırasında sağlanan ayarlarla belirli bir bölgede barındırılan tüm sanal ağlar için etkinleştirilebilir. Bu ilke, bu özelliğin zaten etkin olduğu sanal ağlar için geçerli ayarın üzerine yazılmaz. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.1.1 |
| Akış günlükleri ve Trafik Analizi için çalışma alanı, depolama hesabı ve bekletme aralığını zorunlu kılmak için sanal ağları yapılandırma | Bir sanal ağda trafik analizi zaten etkinse, bu ilke, ilke oluşturma sırasında sağlananlarla mevcut ayarlarının üzerine yazar. Trafik analizi, bulut ağlarındaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. | DeployIfNotExists, Devre Dışı | 1.1.2 |
| Cosmos DB bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış cosmos DB'leri denetler. | Denetim, Etkin Değil | 1.0.0 |
| Belirtilen Kaynak Grubunda VNet Flowlog Traffic Analytics için merkezi Log Analytics Çalışma Alanı oluşturun | Atanan Kapsam'da ve Kaynak Grubu nwtarg-<subscriptionID> altında sanal ağ akış günlükleri için varsayılan olarak merkezi bir Log Analytics Çalışma Alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Sanal Ağ Akış Günlükleri için NetworkWatcherRG'de Bölgesel Ağ İzleyicisi Oluşturma | Bu ilke, Sanal Ağlar için Flowlog'ları etkinleştirmek üzere belirtilen bölgede bir Network Watcher oluşturur. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| resourceGroupName RG'de sanal ağ akış günlükleri için bölgesel Depolama Hesabı oluşturma | Sanal ağ akış günlükleri için varsayılan olarak atanan Kapsam'da ve nwtarg-subscriptionID<> kaynak grubu altında bölgesel bir Depolama Hesabı oluşturur. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Hedef ağ güvenlik grubuyla akış günlüğü kaynağı dağıtma | Belirli bir ağ güvenlik grubu için akış günlüğünü yapılandırılır. Bir ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmeye olanak tanır. Akış günlüğü bilinmeyen veya istenmeyen trafiği tanımlamaya, ağ yalıtımını ve kurumsal erişim kurallarıyla uyumluluğu doğrulamaya, güvenliği aşılmış IP'lerden ve ağ arabirimlerinden gelen ağ akışlarını analiz etmeye yardımcı olur. | deployIfNotExists | 1.1.0 |
| Hedef sanal ağ ile Akış Günlüğü kaynağı dağıtma | Belirli bir sanal ağ için akış günlüğünü yapılandırıyor. Sanal ağ üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmeye olanak tanır. Akış günlüğü bilinmeyen veya istenmeyen trafiği tanımlamaya, ağ yalıtımını ve kurumsal erişim kurallarıyla uyumluluğu doğrulamaya, güvenliği aşılmış IP'lerden ve ağ arabirimlerinden gelen ağ akışlarını analiz etmeye yardımcı olur. | DeployIfNotExists, Devre Dışı | 1.1.1 |
| Sanal ağlar oluşturulduğunda ağ izleyicisi dağıtma | Bu ilke, sanal ağlara sahip bölgelerde bir ağ izleyicisi kaynağı oluşturur. Ağ izleyicisi örneklerini dağıtmak için kullanılacak networkWatcherRG adlı bir kaynak grubunun mevcut olduğundan emin olmanız gerekir. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs with Traffic Analytics for VNets with regional Storage and centralized Log Analytics | Bölgesel Depolama ve merkezi Log Analytics ile sanal ağlar için Trafik Analizi ile Sanal Ağ Akış Günlüklerini dağıtın. Düzeltmeden önce resourceGroupName Kaynak Grubu, Depolama Hesabı, Log Analytics Çalışma Alanı Network Watcher tümünün zaten dağıtıldığından emin olun. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Azure Front Door için Azure Web Application Firewall (WAF) hız sınırı kuralı, hız sınırı süresi boyunca belirli bir istemci IP adresinden uygulamaya izin verilen istek sayısını denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 | |
| Olay Hub'ı bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Olay Hub'larını denetler. | DenetleEğerMevcutDeğilse, Devre Dışı | 1.0.0 |
| Akış günlükleri her ağ güvenlik grubu için yapılandırılmalıdır | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için ağ güvenlik gruplarını denetleyin. Akış günlüklerinin etkinleştirilmesi, ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Etkin Değil | 1.1.0 |
| Ağ geçidi alt ağları bir ağ güvenlik grubuyla yapılandırılmamalıdır | Ağ geçidi alt ağı bir ağ güvenlik grubuyla yapılandırıldığında bu ilke reddedilir. Ağ geçidi alt ağına bir ağ güvenlik grubu atamak, ağ geçidinin çalışmayı durdurmasına neden olur. | deny | 1.0.0 |
| Key Vault bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış Key Vault denetler. | Denetim, Etkin Değil | 1.0.0 |
| WAF Yapılandırmasından WaF İlkesi'ne Application Gateway'de WAF Geçişi | WAF İlkesi yerine WAF Yapılandırmasına sahipseniz yeni WAF İlkesi'ne geçmek isteyebilirsiniz. Bundan sonra güvenlik duvarı ilkesi WAF ilke ayarlarını, yönetilen kural kümelerini, dışlamaları ve devre dışı bırakılmış kural gruplarını destekleyecektir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Ağ arabirimleri IP iletmeyi devre dışı bırakmalıdır | Bu ilke, IP iletmeyi etkinleştiren ağ arabirimlerini reddeder. IP iletme ayarı, Azure bir ağ arabirimi için kaynak ve hedef denetimini devre dışı bırakır. Bu, ağ güvenlik ekibi tarafından gözden geçirilmelidir. | deny | 1.0.0 |
| Ağ arabirimlerinde genel IP'ler olmamalıdır | Bu ilke, herhangi bir genel IP ile yapılandırılan ağ arabirimlerini reddeder. Genel IP adresleri, İnternet kaynaklarının Azure kaynaklarına gelen iletişim kurmasına ve Azure kaynakların İnternet'e giden iletişim kurmasına olanak tanır. Bu, ağ güvenlik ekibi tarafından gözden geçirilmelidir. | deny | 1.0.0 |
| Network Watcher akış günlüklerinde trafik analizi etkinleştirilmelidir | Trafik analizi, Azure bulutunuzda trafik akışıyla ilgili içgörüler sağlamak için akış günlüklerini analiz eder. Azure aboneliklerinizdeki ağ etkinliğini görselleştirmek ve sık erişimli noktaları belirlemek, güvenlik tehditlerini belirlemek, trafik akışı desenlerini anlamak, ağ yanlış yapılandırmalarını belirlemek ve daha fazlasını yapmak için kullanılabilir. | Denetim, Etkin Değil | 1.0.1 |
| Network Watcher etkinleştirilmelidir | Network Watcher, Azure içinde, içinde ve içinden bir ağ senaryosu düzeyinde koşulları izlemenizi ve tanılamanızı sağlayan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | DenetleEğerMevcutDeğilse, Devre Dışı | 3.0.0 |
| Genel IP'ler ve Genel IP ön ekleri FirstPartyUsage etiketine sahip olmalıdır | Tüm Genel IP adreslerinin ve Genel IP Ön Eklerinin FirstPartyUsage etiketine sahip olduğundan emin olun. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| SQL Server bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış SQL Server denetler. | DenetleEğerMevcutDeğilse, Devre Dışı | 1.0.0 |
| Depolama Hesapları sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış depolama hesaplarını denetler. | Denetim, Etkin Değil | 1.0.0 |
| Alt ağlar özel olmalıdır | Varsayılan giden erişimi engelleyerek alt ağlarınızın varsayılan olarak güvenli olduğundan emin olun. Daha fazla bilgi için https://aka.ms/defaultoutboundaccessretirement adresine gidin | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İnternet çıkış ve giriş trafiğini korumak ve ayrıntılı olarak denetlemek için Sanal Hub'larınıza bir Azure Firewall dağıtın. | Denetim, Reddetme, Devre Dışı | 1.0.0 | |
| Sanal makineler onaylı bir sanal ağa bağlanmalıdır | Bu ilke, onaylanmamış bir sanal ağa bağlı tüm sanal makineleri denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure DDoS Koruması ile sanal ağlarınızı hacimli saldırılara ve protokol saldırılarına karşı koruyun. Daha fazla bilgi için https://aka.ms/ddosprotectiondocs adresini ziyaret edin. | Değiştir, Denetle, Devre Dışı | 1.0.1 | |
| Sanal ağlar belirtilen sanal ağ geçidini kullanmalıdır | Bu ilke, varsayılan yol belirtilen sanal ağ geçidine işaret etmiyorsa tüm sanal ağı denetler. | DenetleEğerMevcutDeğilse, Devre Dışı | 1.0.0 |
| VPN ağ geçitleri noktadan siteye kullanıcılar için yalnızca Azure Active Directory (Azure AD) kimlik doğrulamasını kullanmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, VPN Gateway'lerin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri kullanmasını sağlayarak güvenliği artırır. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant adresinde ad kimlik doğrulaması Azure hakkında daha fazla bilgi edinin | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Application GatewayWeb Application Firewall (WAF) etkinleştirilmelidir> | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Application Firewall (WAF) dağıtın. Web Application Firewall (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi olarak korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Web Application Firewall (WAF) Application Gateway için belirtilen modu kullanmalıdır | Application Gateway için tüm Web Application Firewall ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| 'Algılama' veya 'Önleme' modunun Azure Front Door Service için tüm Web Application Firewall ilkelerinde etkin olmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Tags
| Name (Azure portalı) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Etiketi kaynak gruplarına ekleme | Bu etiketi içermeyen bir kaynak grubu oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | modify | 1.0.0 |
| Etiketi kaynaklara ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. Kaynak gruplarındaki etiketleri değiştirmez. | modify | 1.0.0 |
| Aboneliklere etiket ekleme | Belirtilen etiketi ve değeri bir düzeltme görevi aracılığıyla aboneliklere ekler. Etiketin değeri farklıysa etiket değiştirilmez. İlke düzeltme hakkında daha fazla bilgi için bkz https://aka.ms/azurepolicyremediation . | modify | 1.0.0 |
| Kaynak gruplarına etiket ekleme veya etiketi değiştirme | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. | modify | 1.0.0 |
| Kaynaklara etiket ekleme veya etiketi değiştirme | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Kaynak gruplarındaki etiketleri değiştirmez. | modify | 1.0.0 |
| Aboneliklerde etiket ekleme veya değiştirme | Bir düzeltme görevi aracılığıyla aboneliklerde belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynak grupları bir düzeltme görevi tetiklenerek düzeltilebilir. İlke düzeltme hakkında daha fazla bilgi için bkz https://aka.ms/azurepolicyremediation . | modify | 1.0.0 |
| Kaynak grubundaki etiketi ve değerini ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde, kaynak grubundaki belirtilen etiketi ve değerini ekler. Bu kaynaklar değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynakların etiketlerini değiştirmez. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.0 |
| Etiketi ve değerini kaynak gruplarına ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Bu kaynak grupları değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynak gruplarının etiketlerini değiştirmez. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.0 |
| Etiketi ve değerini kaynaklara ekleme | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde belirtilen etiketi ve değeri ekler. Bu kaynaklar değiştirilene kadar bu ilke uygulanmadan önce oluşturulan kaynakların etiketlerini değiştirmez. Kaynak grupları için geçerli değildir. Mevcut kaynaklardaki etiketlerin düzeltilmesine destek olan yeni 'değiştir' efekt ilkeleri mevcuttur (bkz https://aka.ms/modifydoc. ). | append | 1.0.1 |
| Etiketi kaynak grubundan devralma | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde üst kaynak grubunda belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. | modify | 1.0.0 |
| Etiket eksikse, etiketi kaynak grubundan devralma | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde, üst kaynak grubundaki belirtilen etiketi ve değerini ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | modify | 1.0.0 |
| Abonelikten bir etiketi devralma | Bir kaynak oluşturulduğunda veya güncelleştirildiğinde bunu içeren abonelikteki belirtilen etiketi ve değeri ekler veya değiştirir. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. | modify | 1.0.0 |
| Etiket eksikse, etiketi abonelikten devralma | Bu etiketi içermeyen bir kaynak oluşturulduğunda veya güncelleştirildiğinde bunu içeren abonelikteki belirtilen etiketi ve değerini ekler. Mevcut kaynaklar bir düzeltme görevi tetiklenerek düzeltilebilir. Etiketin değeri farklıysa etiket değiştirilmez. | modify | 1.0.0 |
| Etiketi ve değerini kaynak gruplarında gerektirme | Kaynak gruplarında gerekli bir etiketi ve değerini zorunlu kılar. | deny | 1.0.0 |
| Etiketi ve değerini kaynaklarda gerektirme | Gerekli bir etiketi ve değerini zorunlu kılar. Kaynak grupları için geçerli değildir. | deny | 1.0.1 |
| Etiketi kaynak gruplarında gerektirme | Etiketin kaynak gruplarında mevcut olmasını zorunlu kılar. | deny | 1.0.0 |
| Etiketi kaynaklarda gerektirme | Etiketin mevcut olmasını zorunlu kılar. Kaynak grupları için geçerli değildir. | deny | 1.0.1 |
General
| Name (Azure portalı) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| İzin verilen konumlar | Bu ilke, kuruluşunuzun kaynakları dağıtırken belirleyebileceği konumları kısıtlamanıza olanak verir. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. Kaynak gruplarını dışlar Microsoft. AzureActiveDirectory/b2cDirectories ve 'global' bölgesini kullanan kaynaklar. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kaynak grupları için izin verilen konumlar | Bu ilke, kuruluşunuzun kaynak grupları oluşturabileceği konumları kısıtlamanızı sağlar. Coğrafi uyumluluk gereksinimlerinizi zorunlu kılmak için kullanabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İzin verilen kaynak türleri | Bu ilke, kuruluşunuzun dağıtabileceği kaynak türlerini belirtmenizi sağlar. Yalnızca 'etiketleri' ve 'konumu' destekleyen kaynak türleri bu ilkeden etkilenir. Tüm kaynakları kısıtlamak için lütfen bu ilkeyi çoğaltın ve 'mod'u 'Tümü' olarak değiştirin. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kaynak konumunu denetleme, kaynak grubu konumuyla eşleşir | Kaynak konumunun kaynak grubu konumuyla eşleşerek eşleşmediğini denetleme | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Etkin Değil | 1.0.1 |
| Önizleme özelliklerini ayarlamak için abonelikleri yapılandırma | Bu ilke, mevcut aboneliğin önizleme özelliklerini değerlendirir. Abonelikler, yeni bir önizleme özelliğine kaydolmak için düzeltilebilir. Yeni abonelikler otomatik olarak kaydedilmez. | DenetimYoksaDenetle, DağıtımYoksaDağıt, Devre Dışı | 1.0.1 |
| Kaynak türlerinin silinmesine izin verme | Bu ilke, reddetme eylemi etkisini kullanarak silme çağrılarını engelleyerek kuruluşunuzun yanlışlıkla silinmeye karşı koruyabileceği kaynak türlerini belirtmenize olanak tanır. | DenyAction, Devre Dışı | 1.0.1 |
| M365 kaynaklarına İzin Verme | M365 kaynaklarının oluşturulmasını engelle. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| MCPP kaynaklarına izin verme | MCPP kaynaklarının oluşturulmasını engelleyin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kullanım Maliyetleri Kaynaklarını Dışla | Bu ilke, Kullanım Maliyetleri Kaynaklarını dağıtmanıza olanak tanır. Kullanım maliyetleri, kullanım temelinde faturalandırılan tarifeli depolama ve Azure kaynakları gibi öğeleri içerir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| İzin verilmeyen kaynak türleri | Ortamınızda hangi kaynak türlerinin dağıtılabileceğini kısıtlayın. Kaynak türlerini sınırlamak, ortamınızın karmaşıklığını ve saldırı yüzeyini azaltırken maliyetlerin yönetilmesine de yardımcı olabilir. Uyumluluk sonuçları yalnızca uyumlu olmayan kaynaklar için gösterilir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kullanıcıların kaynak oluşturmak veya güncelleştirmek için çok faktörlü kimlik doğrulamasıyla kimlik doğrulaması yapması gerekir | Bu ilke tanımı, çağıranın kimliği MFA aracılığıyla doğrulanmadığında kaynak oluşturma ve güncelleştirme işlemlerini engeller. Daha fazla bilgi için https://aka.ms/mfaforazure adresini ziyaret edin. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kullanıcıların kaynakları silmek için çok faktörlü kimlik doğrulamasıyla kimlik doğrulaması yapması gerekir | Bu ilke tanımı, çağıranın kimliği MFA aracılığıyla doğrulanmadığında kaynak silme işlemlerini engeller. Daha fazla bilgi için https://aka.ms/mfaforazure adresini ziyaret edin. | DenetimEylemi, ReddetmeEylemi, DevreDışı | 1.1.0 |
Sonraki Adımlar
- Azure Policy GitHub deposundaki yerleşiklere bakın.
- Azure Policy tanım yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.