你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

FedRAMP High（Azure 政府）法规合规性内置计划的详细信息

下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 FedRAMP High（Azure 政府）中的合规性域和控制措施 。 有关此合规性标准的详细信息，请参阅 FedRAMP High。 如需了解所有权，请查看策略类型和云中责任分担。

以下映射是到 FedRAMP High 控制的映射。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义，请在 Azure 门户中打开“策略”，并选择“定义”页 。 然后，找到并选择 FedRAMP High 法规合规性内置计划定义。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性；但是，控制与一个或多个策略之间通常不是一对一或完全匹配。 因此，Azure Policy 中的符合性仅引用策略定义本身；这并不能确保你完全符合某个控制措施的所有要求。 此外，符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此，Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录，请参阅 GitHub 提交历史记录。

访问控制

帐户管理

ID：FedRAMP High AC-2 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0
应该为 SQL 服务器预配 Azure Active Directory 管理员	审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	AuditIfNotExists、Disabled	1.0.0
应用服务应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
审核自定义 RBAC 角色的使用情况	审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外，需要进行严格的审查和威胁建模	Audit、Disabled	1.0.1
Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）	建议禁用密钥访问（本地身份验证），以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则会无法使用。 禁用后，Microsoft Entra ID 将成为唯一的访问方法，该方法允许采用最低权限原则和精细控制。 了解详细信息：https://aka.ms/AI/auth	Audit、Deny、Disabled	1.1.0
应删除对 Azure 资源拥有所有者权限的已封锁帐户	应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。	AuditIfNotExists、Disabled	1.0.0
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户	应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。	AuditIfNotExists、Disabled	1.0.0
函数应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
应删除对 Azure 资源拥有所有者权限的来宾帐户	为了防止发生未受监视的访问，应从订阅中删除拥有所有者权限的外部帐户。	AuditIfNotExists、Disabled	1.0.0
应删除对 Azure 资源拥有读取权限的来宾帐户	应从订阅中删除拥有读取特权的外部帐户，以防发生未受监视的访问。	AuditIfNotExists、Disabled	1.0.0
应删除对 Azure 资源拥有写入权限的来宾帐户	应从订阅中删除拥有写入特权的外部帐户，以防发生未受监视的访问。	AuditIfNotExists、Disabled	1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证	审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证	Audit、Deny、Disabled	1.1.0

自动系统帐户管理

ID：FedRAMP High AC-2 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员	审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	AuditIfNotExists、Disabled	1.0.0
Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）	建议禁用密钥访问（本地身份验证），以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则会无法使用。 禁用后，Microsoft Entra ID 将成为唯一的访问方法，该方法允许采用最低权限原则和精细控制。 了解详细信息：https://aka.ms/AI/auth	Audit、Deny、Disabled	1.1.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证	审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证	Audit、Deny、Disabled	1.1.0

基于角色的方案

ID：FedRAMP High AC-2 (7) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员	审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	AuditIfNotExists、Disabled	1.0.0
审核自定义 RBAC 角色的使用情况	审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外，需要进行严格的审查和威胁建模	Audit、Disabled	1.0.1
Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）	建议禁用密钥访问（本地身份验证），以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则会无法使用。 禁用后，Microsoft Entra ID 将成为唯一的访问方法，该方法允许采用最低权限原则和精细控制。 了解详细信息：https://aka.ms/AI/auth	Audit、Deny、Disabled	1.1.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证	审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证	Audit、Deny、Disabled	1.1.0

帐户监视/非典型使用

ID：FedRAMP High AC-2 (12) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4

执法机构

ID：FedRAMP High AC-3 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
添加系统分配的托管标识，在没有标识的虚拟机上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持，但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
添加系统分配的托管标识，以在具有用户分配的标识的 VM 上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持、至少有一个用户分配的标识，但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
应该为 SQL 服务器预配 Azure Active Directory 管理员	审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	AuditIfNotExists、Disabled	1.0.0
应用服务应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
审核具有不使用密码的帐户的 Linux 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户，则计算机不合规	AuditIfNotExists、Disabled	1.4.0
Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）	建议禁用密钥访问（本地身份验证），以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则会无法使用。 禁用后，Microsoft Entra ID 将成为唯一的访问方法，该方法允许采用最低权限原则和精细控制。 了解详细信息：https://aka.ms/AI/auth	Audit、Deny、Disabled	1.1.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配	此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件，在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.4.0
函数应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证	审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证	Audit、Deny、Disabled	1.1.0
存储帐户应迁移到新的 Azure 资源管理器资源	使用新的 Azure 资源管理器为存储帐户提供安全增强功能，例如：更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持，以简化安全管理	Audit、Deny、Disabled	1.0.0
应将虚拟机迁移到新的 Azure 资源管理器资源	对虚拟机使用新的 Azure 资源管理器以提供安全增强功能，例如：更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理	Audit、Deny、Disabled	1.0.0

信息流强制

ID：FedRAMP High AC-4 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[已弃用]：Azure 认知搜索服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Disabled	1.0.1-deprecated
[已弃用]：认知服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息，请访问：https://go.microsoft.com/fwlink/?linkid=2129800。	Audit、Disabled	3.0.1-deprecated
应限制在与虚拟机关联的网络安全组上使用所有网络端口	Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。	AuditIfNotExists、Disabled	3.0.0
API 管理服务应使用虚拟网络	Azure 虚拟网络部署提供了增强的安全性和隔离，并允许你将 API 管理服务放置在不可经 Internet 路由的网络（你控制对其的访问权限）中。 然后，可以使用各种 VPN 技术将这些网络连接到本地网络，这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。	Audit、Deny、Disabled	1.0.2
应用程序配置应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/appconfig/private-endpoint。	AuditIfNotExists、Disabled	1.0.2
应用服务应用不应将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。	AuditIfNotExists、Disabled	2.0.0
应在 Kubernetes 服务上定义经授权的 IP 范围	通过仅向特定范围内的 IP 地址授予 API 访问权限，来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围，以确保只有受允许网络中的应用程序可以访问群集。	Audit、Disabled	2.0.0
Azure AI 服务资源应限制网络访问	通过限制网络访问，可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现，从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。	Audit、Deny、Disabled	3.2.0
Azure Cache for Redis 应使用专用链接	通过专用终结点，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU	使用 Azure 认知搜索的受支持的 SKU，可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务，可以降低数据泄露风险。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure 认知搜索服务应禁用公用网络访问	禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开，从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure Cosmos DB 帐户应有防火墙规则	应在 Azure Cosmos DB 帐户上定义防火墙规则，以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。	Audit、Deny、Disabled	2.1.0
Azure 数据工厂应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 事件网格域应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 事件网格主题应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 文件同步应使用专用链接	为指定的存储同步服务资源创建专用终结点，可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源，而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。	AuditIfNotExists、Disabled	1.0.0
Azure 密钥保管库应启用防火墙	启用密钥保管库防火墙，以便默认情况下，任何公共 IP 都无法访问密钥保管库。 （可选）可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息：https://docs.microsoft.com/azure/key-vault/general/network-security	Audit、Deny、Disabled	1.4.1
Azure 机器学习工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	Audit、Disabled	1.0.0
Azure 服务总线命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	AuditIfNotExists、Disabled	1.0.0
Azure SignalR 服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务，可降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/asrs/privatelink。	Audit、Disabled	1.0.0
Azure Synapse 工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	Audit、Disabled	1.0.1
容器注册表不得允许无限制的网络访问	默认情况下，Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁，只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则，它将出现在不正常资源中。 若要详细了解容器注册表网络规则，请访问：https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。	Audit、Deny、Disabled	2.0.0
容器注册表应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表，而不是整个服务，还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/acr/private-link。	Audit、Disabled	1.0.1
CosmosDB 帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	Audit、Disabled	1.0.0
磁盘访问资源应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/disksprivatelinksdoc。	AuditIfNotExists、Disabled	1.0.0
事件中心命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/event-hubs/private-link-service。	AuditIfNotExists、Disabled	1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
IoT 中心设备预配服务实例应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/iotdpsvnet。	Audit、Disabled	1.0.0
应禁用虚拟机上的 IP 转发	在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发（例如，将 VM 用作网络虚拟设备时），因此，此策略应由网络安全团队评审。	AuditIfNotExists、Disabled	3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
应关闭虚拟机上的管理端口	打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据，来获取对计算机的管理员访问权限。	AuditIfNotExists、Disabled	3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
应启用 Azure SQL 数据库上的专用终结点连接	专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。	Audit、Disabled	1.1.0
应禁用 Azure SQL 数据库上的公用网络访问	禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库，从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。	Audit、Deny、Disabled	1.1.0
应限制对存储帐户的网络访问	应限制对存储帐户的网络访问。 配置网络规则，以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接，可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限	Audit、Deny、Disabled	1.1.1
存储帐户应使用虚拟网络规则来限制网络访问	使用虚拟网络规则作为首选方法（而不使用基于 IP 的筛选），保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。	Audit、Deny、Disabled	1.0.1
存储帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息，请访问 https://aka.ms/azureprivatelinkoverview。	AuditIfNotExists、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0

职责划分

ID：FedRAMP High AC-5 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为订阅分配了多个所有者	建议指定多个订阅所有者，这样才会有管理员访问冗余。	AuditIfNotExists、Disabled	3.0.0

最小特权

ID：FedRAMP High AC-6 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0
审核自定义 RBAC 角色的使用情况	审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外，需要进行严格的审查和威胁建模	Audit、Disabled	1.0.1

用户特权评审

ID：FedRAMP High AC-6 (7) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0
审核自定义 RBAC 角色的使用情况	审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外，需要进行严格的审查和威胁建模	Audit、Disabled	1.0.1

远程访问

ID：FedRAMP High AC-17 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[已弃用]：Azure 认知搜索服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Disabled	1.0.1-deprecated
[已弃用]：认知服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息，请访问：https://go.microsoft.com/fwlink/?linkid=2129800。	Audit、Disabled	3.0.1-deprecated
添加系统分配的托管标识，在没有标识的虚拟机上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持，但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
添加系统分配的托管标识，以在具有用户分配的标识的 VM 上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持、至少有一个用户分配的标识，但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
应用程序配置应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/appconfig/private-endpoint。	AuditIfNotExists、Disabled	1.0.2
应用服务应用应已禁用远程调试	远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接，则计算机不合规	AuditIfNotExists、Disabled	1.4.0
Azure Cache for Redis 应使用专用链接	通过专用终结点，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU	使用 Azure 认知搜索的受支持的 SKU，可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务，可以降低数据泄露风险。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure 数据工厂应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 事件网格域应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 事件网格主题应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 文件同步应使用专用链接	为指定的存储同步服务资源创建专用终结点，可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源，而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。	AuditIfNotExists、Disabled	1.0.0
Azure 机器学习工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	Audit、Disabled	1.0.0
Azure 服务总线命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	AuditIfNotExists、Disabled	1.0.0
Azure SignalR 服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务，可降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/asrs/privatelink。	Audit、Disabled	1.0.0
Azure Synapse 工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	Audit、Disabled	1.0.1
容器注册表应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表，而不是整个服务，还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/acr/private-link。	Audit、Disabled	1.0.1
CosmosDB 帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	Audit、Disabled	1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配	此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件，在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配	此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件，在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.2.0
磁盘访问资源应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/disksprivatelinksdoc。	AuditIfNotExists、Disabled	1.0.0
事件中心命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/event-hubs/private-link-service。	AuditIfNotExists、Disabled	1.0.0
函数应用应已禁用远程调试	远程调试需要入站端口在函数应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
IoT 中心设备预配服务实例应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/iotdpsvnet。	Audit、Disabled	1.0.0
应启用 Azure SQL 数据库上的专用终结点连接	专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。	Audit、Disabled	1.1.0
应限制对存储帐户的网络访问	应限制对存储帐户的网络访问。 配置网络规则，以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接，可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限	Audit、Deny、Disabled	1.1.1
存储帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息，请访问 https://aka.ms/azureprivatelinkoverview。	AuditIfNotExists、Disabled	2.0.0

自动监视/控制

ID：FedRAMP High AC-17 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[已弃用]：Azure 认知搜索服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Disabled	1.0.1-deprecated
[已弃用]：认知服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息，请访问：https://go.microsoft.com/fwlink/?linkid=2129800。	Audit、Disabled	3.0.1-deprecated
添加系统分配的托管标识，在没有标识的虚拟机上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持，但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
添加系统分配的托管标识，以在具有用户分配的标识的 VM 上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持、至少有一个用户分配的标识，但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
应用程序配置应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/appconfig/private-endpoint。	AuditIfNotExists、Disabled	1.0.2
应用服务应用应已禁用远程调试	远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接，则计算机不合规	AuditIfNotExists、Disabled	1.4.0
Azure Cache for Redis 应使用专用链接	通过专用终结点，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU	使用 Azure 认知搜索的受支持的 SKU，可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务，可以降低数据泄露风险。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure 数据工厂应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 事件网格域应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 事件网格主题应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 文件同步应使用专用链接	为指定的存储同步服务资源创建专用终结点，可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源，而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。	AuditIfNotExists、Disabled	1.0.0
Azure 机器学习工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	Audit、Disabled	1.0.0
Azure 服务总线命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	AuditIfNotExists、Disabled	1.0.0
Azure SignalR 服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务，可降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/asrs/privatelink。	Audit、Disabled	1.0.0
Azure Synapse 工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	Audit、Disabled	1.0.1
容器注册表应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表，而不是整个服务，还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/acr/private-link。	Audit、Disabled	1.0.1
CosmosDB 帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	Audit、Disabled	1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配	此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件，在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配	此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件，在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.2.0
磁盘访问资源应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/disksprivatelinksdoc。	AuditIfNotExists、Disabled	1.0.0
事件中心命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/event-hubs/private-link-service。	AuditIfNotExists、Disabled	1.0.0
函数应用应已禁用远程调试	远程调试需要入站端口在函数应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
IoT 中心设备预配服务实例应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/iotdpsvnet。	Audit、Disabled	1.0.0
应启用 Azure SQL 数据库上的专用终结点连接	专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。	Audit、Disabled	1.1.0
应限制对存储帐户的网络访问	应限制对存储帐户的网络访问。 配置网络规则，以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接，可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限	Audit、Deny、Disabled	1.1.1
存储帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息，请访问 https://aka.ms/azureprivatelinkoverview。	AuditIfNotExists、Disabled	2.0.0

审核和责任

审核评审、分析和报告

ID：FedRAMP High AU-6 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0

集中评审和分析

ID：FedRAMP High AU-6 (4) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
应用服务应用应已启用资源日志	审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露，这样便可以重新创建活动线索用于调查目的。	AuditIfNotExists、Disabled	2.0.1
应启用 SQL 服务器上的审核	应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动，并将其保存在审核日志中。	AuditIfNotExists、Disabled	2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应在计算机上安装来宾配置扩展	若要确保安全配置计算机的来宾内设置，请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后，来宾内策略将可用，如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
应启用 Azure Data Lake Store 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Azure 流分析中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Batch 帐户中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Data Lake Analytics 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用事件中心内的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Key Vault 中的资源日志	对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索	AuditIfNotExists、Disabled	5.0.0
应启用逻辑应用中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.1.0
应启用搜索服务中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用服务总线中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展	来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展，但没有系统分配的托管标识，则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息，请访问 https://aka.ms/gcpol	AuditIfNotExists、Disabled	1.0.1

集成/扫描和监视功能

ID：FedRAMP High AU-6 (5) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
应用服务应用应已启用资源日志	审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露，这样便可以重新创建活动线索用于调查目的。	AuditIfNotExists、Disabled	2.0.1
应启用 SQL 服务器上的审核	应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动，并将其保存在审核日志中。	AuditIfNotExists、Disabled	2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应在计算机上安装来宾配置扩展	若要确保安全配置计算机的来宾内设置，请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后，来宾内策略将可用，如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
应启用 Azure Data Lake Store 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Azure 流分析中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Batch 帐户中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Data Lake Analytics 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用事件中心内的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Key Vault 中的资源日志	对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索	AuditIfNotExists、Disabled	5.0.0
应启用逻辑应用中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.1.0
应启用搜索服务中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用服务总线中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展	来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展，但没有系统分配的托管标识，则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息，请访问 https://aka.ms/gcpol	AuditIfNotExists、Disabled	1.0.1

审核记录保留期

ID：FedRAMP High AU-11 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期	为便于调查事件，建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准，有时需要这样做。	AuditIfNotExists、Disabled	3.0.0

审核生成

ID：FedRAMP High AU-12 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
应用服务应用应已启用资源日志	审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露，这样便可以重新创建活动线索用于调查目的。	AuditIfNotExists、Disabled	2.0.1
应启用 SQL 服务器上的审核	应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动，并将其保存在审核日志中。	AuditIfNotExists、Disabled	2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应在计算机上安装来宾配置扩展	若要确保安全配置计算机的来宾内设置，请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后，来宾内策略将可用，如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
应启用 Azure Data Lake Store 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Azure 流分析中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Batch 帐户中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Data Lake Analytics 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用事件中心内的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Key Vault 中的资源日志	对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索	AuditIfNotExists、Disabled	5.0.0
应启用逻辑应用中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.1.0
应启用搜索服务中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用服务总线中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展	来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展，但没有系统分配的托管标识，则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息，请访问 https://aka.ms/gcpol	AuditIfNotExists、Disabled	1.0.1

系统范围/时间相关的审核线索

ID：FedRAMP High AU-12 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
应用服务应用应已启用资源日志	审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露，这样便可以重新创建活动线索用于调查目的。	AuditIfNotExists、Disabled	2.0.1
应启用 SQL 服务器上的审核	应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动，并将其保存在审核日志中。	AuditIfNotExists、Disabled	2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应在计算机上安装来宾配置扩展	若要确保安全配置计算机的来宾内设置，请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后，来宾内策略将可用，如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
应启用 Azure Data Lake Store 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Azure 流分析中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Batch 帐户中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Data Lake Analytics 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用事件中心内的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用 Key Vault 中的资源日志	对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索	AuditIfNotExists、Disabled	5.0.0
应启用逻辑应用中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.1.0
应启用搜索服务中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用服务总线中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展	来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展，但没有系统分配的托管标识，则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息，请访问 https://aka.ms/gcpol	AuditIfNotExists、Disabled	1.0.1

配置管理

配置设置

ID：FedRAMP High CM-6 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应启用“客户端证书（传入客户端证书）”	客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。	AuditIfNotExists、Disabled	1.0.0
应用服务应用应已禁用远程调试	远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
应用服务应用不应将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。	AuditIfNotExists、Disabled	2.0.0
应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项	用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3（用于开放策略代理 (OPA) 的许可控制器 Webhook），以集中、一致的方式在群集上应用大规模强制措施和安全措施。	Audit、Disabled	1.0.2
确保函数应用已启用“客户端证书(传入客户端证书)”	客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。	AuditIfNotExists、Disabled	1.0.0
函数应用应已禁用远程调试	远程调试需要入站端口在函数应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
函数应用不应将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。	AuditIfNotExists、Disabled	2.0.0
Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制	强制实施容器 CPU 和内存资源限制，以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	10.2.0
Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间	阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	6.1.0
Kubernetes 群集容器只应使用允许的 AppArmor 配置文件	容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	7.1.1
Kubernetes 群集容器只应使用允许的功能	限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	7.1.0
Kubernetes 群集容器应只使用允许的映像	使用受信任注册表中的映像，以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	10.2.0
Kubernetes 群集容器应使用只读根文件系统运行	运行使用只读根文件系统的容器，以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	7.1.0
Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径	仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	7.1.1
Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行	控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	7.1.1
Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围	限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	7.1.0
Kubernetes 群集服务应只侦听允许的端口	将服务限制为只侦听允许的端口，以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	9.1.0
Kubernetes 群集不应允许特权容器	不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	10.1.0
Kubernetes 群集不得允许容器特权提升	不允许容器使用特权提升运行，从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息，请参阅 https://aka.ms/kubepolicydoc。	audit、Audit、deny、Deny、disabled、Disabled	8.1.0
Linux 计算机应符合 Azure 计算安全基线的要求	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置，则计算机不合规。	AuditIfNotExists、Disabled	1.5.0
Windows 计算机应符合 Azure 计算安全基线的要求	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置，则计算机不合规。	AuditIfNotExists、Disabled	1.0.0

最少的功能

ID：FedRAMP High CM-7 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3

应变规划

备用存储站点

ID：FedRAMP High CP-6 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为 Azure Database for MariaDB 启用异地冗余备份	通过 Azure Database for MariaDB，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为 Azure Database for MySQL 启用异地冗余备份	通过 Azure Database for MySQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份	通过 Azure Database for PostgreSQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为存储帐户启用异地冗余存储	使用异地冗余创建高可用性应用程序	Audit、Disabled	1.0.0
应为 Azure SQL 数据库启用长期异地冗余备份	此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。	AuditIfNotExists、Disabled	2.0.0

从主站点分离

ID：FedRAMP High CP-6 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为 Azure Database for MariaDB 启用异地冗余备份	通过 Azure Database for MariaDB，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为 Azure Database for MySQL 启用异地冗余备份	通过 Azure Database for MySQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份	通过 Azure Database for PostgreSQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为存储帐户启用异地冗余存储	使用异地冗余创建高可用性应用程序	Audit、Disabled	1.0.0
应为 Azure SQL 数据库启用长期异地冗余备份	此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。	AuditIfNotExists、Disabled	2.0.0

备用处理站点

ID：FedRAMP High CP-7 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核未配置灾难恢复的虚拟机	审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复，请访问 https://aka.ms/asr-doc。	auditIfNotExists	1.0.0

信息系统备份

ID：FedRAMP High CP-9 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为虚拟机启用 Azure 备份	启用 Azure 备份，确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。	AuditIfNotExists、Disabled	3.0.0
应为 Azure Database for MariaDB 启用异地冗余备份	通过 Azure Database for MariaDB，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为 Azure Database for MySQL 启用异地冗余备份	通过 Azure Database for MySQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份	通过 Azure Database for PostgreSQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
Key Vault 应启用删除保护	恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住，在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。	Audit、Deny、Disabled	2.1.0
密钥保管库应启用软删除	在未启用软删除的情况下删除密钥保管库，将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。	Audit、Deny、Disabled	3.0.0

识别和身份验证

标识和身份验证（组织用户）

ID：FedRAMP High IA-2 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
应该为 SQL 服务器预配 Azure Active Directory 管理员	审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	AuditIfNotExists、Disabled	1.0.0
应用服务应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）	建议禁用密钥访问（本地身份验证），以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则会无法使用。 禁用后，Microsoft Entra ID 将成为唯一的访问方法，该方法允许采用最低权限原则和精细控制。 了解详细信息：https://aka.ms/AI/auth	Audit、Deny、Disabled	1.1.0
函数应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证	审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证	Audit、Deny、Disabled	1.1.0

对特权帐户的网络访问

ID：FedRAMP High IA-2 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

对非特权帐户的网络访问

ID：FedRAMP High IA-2 (2) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

标识符管理

ID：FedRAMP High IA-4 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员	审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	AuditIfNotExists、Disabled	1.0.0
应用服务应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
Azure AI Services 资源应禁用密钥访问权限（禁用本地身份验证）	建议禁用密钥访问（本地身份验证），以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问，如果禁用密钥访问，则会无法使用。 禁用后，Microsoft Entra ID 将成为唯一的访问方法，该方法允许采用最低权限原则和精细控制。 了解详细信息：https://aka.ms/AI/auth	Audit、Deny、Disabled	1.1.0
函数应用应使用托管标识	使用托管标识以实现增强的身份验证安全性	AuditIfNotExists、Disabled	3.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证	审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证	Audit、Deny、Disabled	1.1.0

验证器管理

ID：FedRAMP High IA-5 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
添加系统分配的托管标识，在没有标识的虚拟机上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持，但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
添加系统分配的托管标识，以在具有用户分配的标识的 VM 上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持、至少有一个用户分配的标识，但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
审核未将密码文件权限设为 0644 的 Linux 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644，则计算机不合规	AuditIfNotExists、Disabled	1.4.0
审核未存储使用可逆加密的密码的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码，则计算机不合规	AuditIfNotExists、Disabled	1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配	此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件，在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配	此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件，在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.2.0

基于密码的身份验证

ID：FedRAMP High IA-5 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
添加系统分配的托管标识，在没有标识的虚拟机上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持，但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
添加系统分配的托管标识，以在具有用户分配的标识的 VM 上启用来宾配置分配	此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机，这些虚拟机受来宾配置支持、至少有一个用户分配的标识，但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件，在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	modify	1.3.0
审核未将密码文件权限设为 0644 的 Linux 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644，则计算机不合规	AuditIfNotExists、Disabled	1.4.0
审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码，则这些计算机是不合规的。 唯一密码的默认值为 24	AuditIfNotExists、Disabled	1.1.0
审核未将最长密码期限设置为指定天数的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数，则这些计算机是不合规的。 最长密码期限的默认值为 70 天	AuditIfNotExists、Disabled	1.1.0
审核未将最短密码期限设置为指定天数的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数，则这些计算机是不合规的。 最短密码期限的默认值为 1 天	AuditIfNotExists、Disabled	1.1.0
审核未启用密码复杂性设置的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置，则计算机不合规	AuditIfNotExists、Disabled	1.0.0
审核未将最短密码长度限制为特定字符数的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数，则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符	AuditIfNotExists、Disabled	1.1.0
审核未存储使用可逆加密的密码的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码，则计算机不合规	AuditIfNotExists、Disabled	1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配	此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件，在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配	此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件，在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息，请访问 https://aka.ms/gcpol。	deployIfNotExists	1.2.0

事件响应

事件处理

ID：FedRAMP High IR-4 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应启用高严重性警报的电子邮件通知	当某个订阅中存在潜在的安全漏洞时，若要确保组织中的相关人员收到通知，请在安全中心为高严重性警报启用电子邮件通知。	AuditIfNotExists、Disabled	1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知	当订阅中存在潜在的安全漏洞时，若要确保订阅所有者收到通知，请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。	AuditIfNotExists、Disabled	2.0.0
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
订阅应有一个联系人电子邮件地址，用于接收安全问题通知	当某个订阅中存在潜在的安全漏洞时，若要确保组织中的相关人员收到通知，请设置一个安全联系人，以接收来自安全中心的电子邮件通知。	AuditIfNotExists、Disabled	1.0.1

事件监视

ID：FedRAMP High IR-5 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应启用高严重性警报的电子邮件通知	当某个订阅中存在潜在的安全漏洞时，若要确保组织中的相关人员收到通知，请在安全中心为高严重性警报启用电子邮件通知。	AuditIfNotExists、Disabled	1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知	当订阅中存在潜在的安全漏洞时，若要确保订阅所有者收到通知，请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。	AuditIfNotExists、Disabled	2.0.0
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
订阅应有一个联系人电子邮件地址，用于接收安全问题通知	当某个订阅中存在潜在的安全漏洞时，若要确保组织中的相关人员收到通知，请设置一个安全联系人，以接收来自安全中心的电子邮件通知。	AuditIfNotExists、Disabled	1.0.1

风险评估

漏洞扫描

ID：FedRAMP High RA-5 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
SQL 数据库应已解决漏洞结果	监视漏洞评估扫描结果，并提供有关如何消除数据库漏洞的建议。	AuditIfNotExists、Disabled	4.1.0
计算机上的 SQL Server 应已解决漏洞结果	SQL 漏洞评估会扫描数据库中的安全漏洞，并显示与最佳做法之间的任何偏差，例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。	AuditIfNotExists、Disabled	1.0.0
应修复计算机上安全配置中的漏洞	建议通过 Azure 安全中心监视不满足配置的基线的服务器	AuditIfNotExists、Disabled	3.1.0
应在 SQL 托管实例上启用漏洞评估	审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。	AuditIfNotExists、Disabled	1.0.1
应对 SQL 服务器启用漏洞评估	审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。	AuditIfNotExists、Disabled	3.0.0
应对 Synapse 工作区启用漏洞评估	通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。	AuditIfNotExists、Disabled	1.0.0

系统和通信保护

安全功能隔离

ID：FedRAMP High SC-3 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应在计算机上启用 Windows Defender 攻击防护	Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件，旨在锁定设备来阻隔各种攻击途径，并阻止恶意软件攻击中常用的行为，同时让企业能够平衡其安全风险和生产力要求（仅限 Windows）。	AuditIfNotExists、Disabled	1.1.1

拒绝服务保护

ID：FedRAMP High SC-5 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用 Azure DDoS 防护	应对具有相关子网（属于具有公共 IP 的应用程序网关）的所有虚拟网络启用 DDoS 防护。	AuditIfNotExists、Disabled	3.0.1
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙	将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面，以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害，例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则，按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。	Audit、Deny、Disabled	1.0.2
应禁用虚拟机上的 IP 转发	在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发（例如，将 VM 用作网络虚拟设备时），因此，此策略应由网络安全团队评审。	AuditIfNotExists、Disabled	3.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF)	将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面，以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害，例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则，按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。	Audit、Deny、Disabled	2.0.0

边界保护

ID：FedRAMP High SC-7 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[已弃用]：Azure 认知搜索服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Disabled	1.0.1-deprecated
[已弃用]：认知服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息，请访问：https://go.microsoft.com/fwlink/?linkid=2129800。	Audit、Disabled	3.0.1-deprecated
应限制在与虚拟机关联的网络安全组上使用所有网络端口	Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。	AuditIfNotExists、Disabled	3.0.0
API 管理服务应使用虚拟网络	Azure 虚拟网络部署提供了增强的安全性和隔离，并允许你将 API 管理服务放置在不可经 Internet 路由的网络（你控制对其的访问权限）中。 然后，可以使用各种 VPN 技术将这些网络连接到本地网络，这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。	Audit、Deny、Disabled	1.0.2
应用程序配置应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/appconfig/private-endpoint。	AuditIfNotExists、Disabled	1.0.2
应在 Kubernetes 服务上定义经授权的 IP 范围	通过仅向特定范围内的 IP 地址授予 API 访问权限，来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围，以确保只有受允许网络中的应用程序可以访问群集。	Audit、Disabled	2.0.0
Azure AI 服务资源应限制网络访问	通过限制网络访问，可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现，从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。	Audit、Deny、Disabled	3.2.0
Azure Cache for Redis 应使用专用链接	通过专用终结点，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU	使用 Azure 认知搜索的受支持的 SKU，可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务，可以降低数据泄露风险。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure 认知搜索服务应禁用公用网络访问	禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开，从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure Cosmos DB 帐户应有防火墙规则	应在 Azure Cosmos DB 帐户上定义防火墙规则，以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。	Audit、Deny、Disabled	2.1.0
Azure 数据工厂应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 事件网格域应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 事件网格主题应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 文件同步应使用专用链接	为指定的存储同步服务资源创建专用终结点，可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源，而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。	AuditIfNotExists、Disabled	1.0.0
Azure 密钥保管库应启用防火墙	启用密钥保管库防火墙，以便默认情况下，任何公共 IP 都无法访问密钥保管库。 （可选）可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息：https://docs.microsoft.com/azure/key-vault/general/network-security	Audit、Deny、Disabled	1.4.1
Azure 机器学习工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	Audit、Disabled	1.0.0
Azure 服务总线命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	AuditIfNotExists、Disabled	1.0.0
Azure SignalR 服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务，可降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/asrs/privatelink。	Audit、Disabled	1.0.0
Azure Synapse 工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	Audit、Disabled	1.0.1
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙	将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面，以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害，例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则，按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。	Audit、Deny、Disabled	1.0.2
容器注册表不得允许无限制的网络访问	默认情况下，Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁，只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则，它将出现在不正常资源中。 若要详细了解容器注册表网络规则，请访问：https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。	Audit、Deny、Disabled	2.0.0
容器注册表应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表，而不是整个服务，还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/acr/private-link。	Audit、Disabled	1.0.1
CosmosDB 帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	Audit、Disabled	1.0.0
磁盘访问资源应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/disksprivatelinksdoc。	AuditIfNotExists、Disabled	1.0.0
事件中心命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/event-hubs/private-link-service。	AuditIfNotExists、Disabled	1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
IoT 中心设备预配服务实例应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/iotdpsvnet。	Audit、Disabled	1.0.0
应禁用虚拟机上的 IP 转发	在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发（例如，将 VM 用作网络虚拟设备时），因此，此策略应由网络安全团队评审。	AuditIfNotExists、Disabled	3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
应关闭虚拟机上的管理端口	打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据，来获取对计算机的管理员访问权限。	AuditIfNotExists、Disabled	3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
应启用 Azure SQL 数据库上的专用终结点连接	专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。	Audit、Disabled	1.1.0
应禁用 Azure SQL 数据库上的公用网络访问	禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库，从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。	Audit、Deny、Disabled	1.1.0
应限制对存储帐户的网络访问	应限制对存储帐户的网络访问。 配置网络规则，以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接，可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限	Audit、Deny、Disabled	1.1.1
存储帐户应使用虚拟网络规则来限制网络访问	使用虚拟网络规则作为首选方法（而不使用基于 IP 的筛选），保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。	Audit、Deny、Disabled	1.0.1
存储帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息，请访问 https://aka.ms/azureprivatelinkoverview。	AuditIfNotExists、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF)	将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面，以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害，例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则，按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。	Audit、Deny、Disabled	2.0.0

接入点

ID：FedRAMP High SC-7 (3) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[已弃用]：Azure 认知搜索服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Disabled	1.0.1-deprecated
[已弃用]：认知服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息，请访问：https://go.microsoft.com/fwlink/?linkid=2129800。	Audit、Disabled	3.0.1-deprecated
应限制在与虚拟机关联的网络安全组上使用所有网络端口	Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。	AuditIfNotExists、Disabled	3.0.0
API 管理服务应使用虚拟网络	Azure 虚拟网络部署提供了增强的安全性和隔离，并允许你将 API 管理服务放置在不可经 Internet 路由的网络（你控制对其的访问权限）中。 然后，可以使用各种 VPN 技术将这些网络连接到本地网络，这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。	Audit、Deny、Disabled	1.0.2
应用程序配置应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/appconfig/private-endpoint。	AuditIfNotExists、Disabled	1.0.2
应在 Kubernetes 服务上定义经授权的 IP 范围	通过仅向特定范围内的 IP 地址授予 API 访问权限，来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围，以确保只有受允许网络中的应用程序可以访问群集。	Audit、Disabled	2.0.0
Azure AI 服务资源应限制网络访问	通过限制网络访问，可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现，从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。	Audit、Deny、Disabled	3.2.0
Azure Cache for Redis 应使用专用链接	通过专用终结点，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU	使用 Azure 认知搜索的受支持的 SKU，可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务，可以降低数据泄露风险。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure 认知搜索服务应禁用公用网络访问	禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开，从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息，请访问：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit、Deny、Disabled	1.0.0
Azure Cosmos DB 帐户应有防火墙规则	应在 Azure Cosmos DB 帐户上定义防火墙规则，以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。	Audit、Deny、Disabled	2.1.0
Azure 数据工厂应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	AuditIfNotExists、Disabled	1.0.0
Azure 事件网格域应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 事件网格主题应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题（而不是整个服务），还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/privateendpoints。	Audit、Disabled	1.0.2
Azure 文件同步应使用专用链接	为指定的存储同步服务资源创建专用终结点，可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源，而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。	AuditIfNotExists、Disabled	1.0.0
Azure 密钥保管库应启用防火墙	启用密钥保管库防火墙，以便默认情况下，任何公共 IP 都无法访问密钥保管库。 （可选）可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息：https://docs.microsoft.com/azure/key-vault/general/network-security	Audit、Deny、Disabled	1.4.1
Azure 机器学习工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	Audit、Disabled	1.0.0
Azure 服务总线命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	AuditIfNotExists、Disabled	1.0.0
Azure SignalR 服务应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务，可降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/asrs/privatelink。	Audit、Disabled	1.0.0
Azure Synapse 工作区应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	Audit、Disabled	1.0.1
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙	将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面，以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害，例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则，按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。	Audit、Deny、Disabled	1.0.2
容器注册表不得允许无限制的网络访问	默认情况下，Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁，只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则，它将出现在不正常资源中。 若要详细了解容器注册表网络规则，请访问：https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。	Audit、Deny、Disabled	2.0.0
容器注册表应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表，而不是整个服务，还可以防范数据泄露风险。 有关详细信息，请访问：https://aka.ms/acr/private-link。	Audit、Disabled	1.0.1
CosmosDB 帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	Audit、Disabled	1.0.0
磁盘访问资源应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses，可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/disksprivatelinksdoc。	AuditIfNotExists、Disabled	1.0.0
事件中心命名空间应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间，可以降低数据泄露风险。 有关详细信息，请访问：https://docs.microsoft.com/azure/event-hubs/private-link-service。	AuditIfNotExists、Disabled	1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
IoT 中心设备预配服务实例应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息，请访问：https://aka.ms/iotdpsvnet。	Audit、Disabled	1.0.0
应禁用虚拟机上的 IP 转发	在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发（例如，将 VM 用作网络虚拟设备时），因此，此策略应由网络安全团队评审。	AuditIfNotExists、Disabled	3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
应关闭虚拟机上的管理端口	打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据，来获取对计算机的管理员访问权限。	AuditIfNotExists、Disabled	3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
应启用 Azure SQL 数据库上的专用终结点连接	专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。	Audit、Disabled	1.1.0
应禁用 Azure SQL 数据库上的公用网络访问	禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库，从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。	Audit、Deny、Disabled	1.1.0
应限制对存储帐户的网络访问	应限制对存储帐户的网络访问。 配置网络规则，以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接，可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限	Audit、Deny、Disabled	1.1.1
存储帐户应使用虚拟网络规则来限制网络访问	使用虚拟网络规则作为首选方法（而不使用基于 IP 的筛选），保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。	Audit、Deny、Disabled	1.0.1
存储帐户应使用专用链接	通过 Azure 专用链接，在没有源位置或目标位置的公共 IP 地址的情况下，也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息，请访问 https://aka.ms/azureprivatelinkoverview。	AuditIfNotExists、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF)	将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面，以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害，例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则，按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。	Audit、Deny、Disabled	2.0.0

传输保密性和完整性

ID：FedRAMP High SC-8 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应仅需要 FTPS	启用“FTPS 强制实施”以增强安全性。	AuditIfNotExists、Disabled	3.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信	在 Azure HDInsight 群集节点之间的传输过程中，数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。	Audit、Deny、Disabled	1.0.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应仅需要 FTPS	启用“FTPS 强制实施”以增强安全性。	AuditIfNotExists、Disabled	3.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
Kubernetes 群集应只可通过 HTTPS 进行访问	使用 HTTPS 可确保执行身份验证，并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布，并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息，请访问 https://aka.ms/kubepolicydoc	audit、Audit、deny、Deny、disabled、Disabled	9.1.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
应将 Windows 计算机配置为使用安全通信协议	为了保护通过 Internet 进行通信的信息的隐私，计算机应使用最新版本的行业标准加密协议，即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。	AuditIfNotExists、Disabled	3.0.1

加密或备用物理保护

ID：FedRAMP High SC-8 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应仅需要 FTPS	启用“FTPS 强制实施”以增强安全性。	AuditIfNotExists、Disabled	3.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信	在 Azure HDInsight 群集节点之间的传输过程中，数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。	Audit、Deny、Disabled	1.0.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应仅需要 FTPS	启用“FTPS 强制实施”以增强安全性。	AuditIfNotExists、Disabled	3.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
Kubernetes 群集应只可通过 HTTPS 进行访问	使用 HTTPS 可确保执行身份验证，并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布，并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息，请访问 https://aka.ms/kubepolicydoc	audit、Audit、deny、Deny、disabled、Disabled	9.1.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
应将 Windows 计算机配置为使用安全通信协议	为了保护通过 Internet 进行通信的信息的隐私，计算机应使用最新版本的行业标准加密协议，即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。	AuditIfNotExists、Disabled	3.0.1

加密密钥建立和管理

ID：FedRAMP High SC-12 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据	使用客户管理的密钥来管理备份数据的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption。	Audit、Deny、Disabled	1.0.0-preview
[预览]：应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据	使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密，但为了满足监管合规标准，通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK，了解有关 CMK 加密的详细信息。	Audit、Deny、Disabled	1.0.0-preview
Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据	使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期，包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估，并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用，将使用平台管理的密钥来加密数据。 为实现此目的，请更新安全策略中适用范围的“效果”参数。	Audit、Deny、Disabled	2.2.0
Azure 自动化帐户应使用客户管理的密钥来加密静态数据	使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/automation-cmk。	Audit、Deny、Disabled	1.0.0
Azure Batch 帐户应使用客户管理的密钥来加密数据	使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK。	Audit、Deny、Disabled	1.0.1
Azure 容器实例容器组应使用客户管理的密钥进行加密	使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时，该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。	审核、已禁用、拒绝	1.0.0
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据	使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下，使用服务管理的密钥对数据进行静态加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码	使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问，以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密，并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。	Audit、Deny、Disabled	1.0.0
Azure 数据资源管理器静态加密应使用客户管理的密钥	对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密，可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。	Audit、Deny、Disabled	1.0.0
应使用客户管理的密钥对 Azure 数据工厂进行加密	使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规合规性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk。	Audit、Deny、Disabled	1.0.1
Azure HDInsight 群集应使用客户管理的密钥来加密静态数据	使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk。	Audit、Deny、Disabled	1.0.1
Azure HDInsight 群集应使用主机加密来加密静态数据	启用主机加密有助于保护数据，使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时，存储在 VM 主机上的数据将静态加密，且已加密的数据将流向存储服务。	Audit、Deny、Disabled	1.0.0
应使用客户管理的密钥对 Azure 机器学习工作区进行加密	使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk。	Audit、Deny、Disabled	1.1.0
应使用客户管理的密钥对 Azure Monitor 日志群集进行加密	创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下，使用服务管理的密钥对日志数据进行加密，但为了满足法规合规性，通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥，可更好地控制对数据的访问，请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
Azure 流分析作业应使用客户管理的密钥来加密数据	当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时，请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
Azure Synapse 工作区应使用客户管理的密钥来加密静态数据	使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密，方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。	Audit、Deny、Disabled	1.0.0
机器人服务应使用客户管理的密钥进行加密	Azure 机器人服务自动加密你的资源，以保护数据并实现组织安全性和合规性承诺。 默认使用 Microsoft 管理的加密密钥。 为了能够更灵活地管理密钥或控制对订阅的访问，请选择“客户管理的密钥”（亦称为“创建自己的密钥 (BYOK)”）。 详细了解 Azure 机器人服务加密：https://docs.microsoft.com/azure/bot-service/bot-service-encryption。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密	使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。	Audit、Deny、Disabled	1.0.1
应使用客户管理的密钥对容器注册表进行加密	使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下，使用服务管理的密钥对数据进行静态加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK。	Audit、Deny、Disabled	1.1.2
事件中心命名空间应使用客户管理的密钥进行加密	Azure 事件中心支持通过 Microsoft 管理的密钥（默认）或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据，则可分配、轮换、禁用和撤销对密钥的访问权限，事件中心将使用密钥加密命名空间中的数据。 请注意，事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。	Audit、Disabled	1.0.0
应使用客户管理的密钥对逻辑应用集成服务环境进行加密	使用客户管理的密钥部署到集成服务环境，以管理逻辑应用数据的静态加密。 默认情况下，使用服务管理的密钥对客户数据进行加密，但为了满足法规符合性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。	Audit、Deny、Disabled	1.0.0
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘	对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险，可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption。	Audit、Deny、Disabled	1.0.0
应使用客户管理的密钥来加密 OS 和数据磁盘	使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下，使用平台管理的密钥对数据进行静态加密，但为了满足合规性标准，通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk。	Audit、Deny、Disabled	3.0.0
应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密	将存储帐户链接到 Log Analytics 工作区，以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问，通常需要使用客户管理的密钥。 有关上述内容的更多详细信息，请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
服务总线高级命名空间应使用客户管理的密钥进行加密	Azure 服务总线支持通过 Microsoft 管理的密钥（默认）或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据，则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意，服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。	Audit、Disabled	1.0.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密	使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制，增强由 HSM 提供支持的外部服务的安全性，并促进职责划分。 此建议适用于具有相关合规性要求的组织。	Audit、Deny、Disabled	2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密	使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制，增强由 HSM 提供支持的外部服务的安全性，并促进职责划分。 此建议适用于具有相关合规性要求的组织。	Audit、Deny、Disabled	2.0.1
存储帐户加密范围应使用客户管理的密钥对静态数据进行加密	使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期，包括轮换和管理。 若要详细了解存储帐户加密范围，请访问 https://aka.ms/encryption-scopes-overview。	Audit、Deny、Disabled	1.0.0
存储帐户应使用客户管理的密钥进行加密	使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时，该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。	Audit、Disabled	1.0.3

保护静态信息

ID：FedRAMP High SC-28 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务环境应启用内部加密	如果将 InternalEncryption 设置为 true，会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息，请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。	Audit、Disabled	1.0.1
自动化帐户变量应加密	存储敏感数据时，请务必启用自动化帐户变量资产加密	Audit、Deny、Disabled	1.1.0
Azure Data Box 作业应为设备上静态数据启用双重加密	为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。	Audit、Deny、Disabled	1.0.0
应创建启用了基础结构加密（双重加密）的 Azure Monitor 日志群集	若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密，请使用 Azure Monitor 专用群集。 在区域受支持时，默认情况下会启用此选项，请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
Azure Stack Edge 设备应使用双重加密	若要在设备上保护静态数据，请确保静态数据已双重加密，已控制对数据的访问，并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密：数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息，请参阅特定 Stack Edge 设备的安全概述文档。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
应为 Azure 数据资源管理器启用磁盘加密	启用磁盘加密有助于保护数据，使组织能够信守在安全性与合规性方面作出的承诺。	Audit、Deny、Disabled	2.0.0
应为 Azure 数据资源管理器启用双重加密	启用双重加密有助于保护数据，使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后，将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密，一次在服务级别，一次在基础结构级别。	Audit、Deny、Disabled	2.0.0
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign	Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别（None、Sign 和 EncryptAndSign）。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名	Audit、Deny、Disabled	1.1.0
存储帐户应具有基础结构加密	启用基础结构加密，以便增强数据安全。 启用基础结构加密后，存储帐户中的数据将加密两次。	Audit、Deny、Disabled	1.0.0
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存	为了增强数据安全性，应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。	Audit、Deny、Disabled	1.0.1
应在 SQL 数据库上启用透明数据加密	应启用透明数据加密以保护静态数据并满足符合性要求	AuditIfNotExists、Disabled	2.0.0
虚拟机和虚拟机规模集应启用主机中加密	使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后，将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密，具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。	Audit、Deny、Disabled	1.0.0

加密保护

ID：FedRAMP High SC-28 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务环境应启用内部加密	如果将 InternalEncryption 设置为 true，会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息，请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。	Audit、Disabled	1.0.1
自动化帐户变量应加密	存储敏感数据时，请务必启用自动化帐户变量资产加密	Audit、Deny、Disabled	1.1.0
Azure Data Box 作业应为设备上静态数据启用双重加密	为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。	Audit、Deny、Disabled	1.0.0
应创建启用了基础结构加密（双重加密）的 Azure Monitor 日志群集	若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密，请使用 Azure Monitor 专用群集。 在区域受支持时，默认情况下会启用此选项，请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
Azure Stack Edge 设备应使用双重加密	若要在设备上保护静态数据，请确保静态数据已双重加密，已控制对数据的访问，并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密：数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息，请参阅特定 Stack Edge 设备的安全概述文档。	audit、Audit、deny、Deny、disabled、Disabled	1.1.0
应为 Azure 数据资源管理器启用磁盘加密	启用磁盘加密有助于保护数据，使组织能够信守在安全性与合规性方面作出的承诺。	Audit、Deny、Disabled	2.0.0
应为 Azure 数据资源管理器启用双重加密	启用双重加密有助于保护数据，使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后，将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密，一次在服务级别，一次在基础结构级别。	Audit、Deny、Disabled	2.0.0
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign	Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别（None、Sign 和 EncryptAndSign）。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名	Audit、Deny、Disabled	1.1.0
存储帐户应具有基础结构加密	启用基础结构加密，以便增强数据安全。 启用基础结构加密后，存储帐户中的数据将加密两次。	Audit、Deny、Disabled	1.0.0
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存	为了增强数据安全性，应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。	Audit、Deny、Disabled	1.0.1
应在 SQL 数据库上启用透明数据加密	应启用透明数据加密以保护静态数据并满足符合性要求	AuditIfNotExists、Disabled	2.0.0
虚拟机和虚拟机规模集应启用主机中加密	使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后，将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密，具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。	Audit、Deny、Disabled	1.0.0

系统和信息完整性

缺陷修正

ID：FedRAMP High SI-2 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应使用最新“HTTP 版本”	我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复（如果有）和/或新功能。	AuditIfNotExists、Disabled	4.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
函数应用应使用最新“HTTP 版本”	我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复（如果有）和/或新功能。	AuditIfNotExists、Disabled	4.0.0
Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本	将 Kubernetes 服务群集升级到更高 Kubernetes 版本，以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946	Audit、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
SQL 数据库应已解决漏洞结果	监视漏洞评估扫描结果，并提供有关如何消除数据库漏洞的建议。	AuditIfNotExists、Disabled	4.1.0
应修复计算机上安全配置中的漏洞	建议通过 Azure 安全中心监视不满足配置的基线的服务器	AuditIfNotExists、Disabled	3.1.0

恶意代码防护

ID：FedRAMP High SI-3 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应在计算机上启用 Windows Defender 攻击防护	Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件，旨在锁定设备来阻隔各种攻击途径，并阻止恶意软件攻击中常用的行为，同时让企业能够平衡其安全风险和生产力要求（仅限 Windows）。	AuditIfNotExists、Disabled	1.1.1

集中管理

ID：FedRAMP High SI-3 (1) 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应在计算机上启用 Windows Defender 攻击防护	Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件，旨在锁定设备来阻隔各种攻击途径，并阻止恶意软件攻击中常用的行为，同时让企业能够平衡其安全风险和生产力要求（仅限 Windows）。	AuditIfNotExists、Disabled	1.1.1

信息系统监视

ID：FedRAMP High SI-4 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展	适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据，并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息，请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。	AuditIfNotExists、Disabled	4.0.1 - 预览版
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
应启用适用于 Azure SQL 数据库服务器的 Azure Defender	Azure Defender for SQL 提供了以下功能：呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动，以及发现敏感数据并对其进行分类。	AuditIfNotExists、Disabled	1.0.2
应启用 Azure Defender for Resource Manager	Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能，请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息，请访问安全中心的定价页：https://aka.ms/pricing-security-center。	AuditIfNotExists、Disabled	1.0.0
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL	审核没有高级数据安全的 SQL 服务器	AuditIfNotExists、Disabled	2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL	审核所有未启用高级数据安全的 SQL 托管实例。	AuditIfNotExists、Disabled	1.0.2
应在计算机上安装来宾配置扩展	若要确保安全配置计算机的来宾内设置，请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后，来宾内策略将可用，如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。	AuditIfNotExists、Disabled	1.0.2
应启用 Microsoft Defender for Containers	Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。	AuditIfNotExists、Disabled	1.0.0
应启用 Microsoft Defender for Storage（经典版）	Microsoft Defender for Storage（经典版）可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。	AuditIfNotExists、Disabled	1.0.4
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展	来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展，但没有系统分配的托管标识，则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息，请访问 https://aka.ms/gcpol	AuditIfNotExists、Disabled	1.0.1

内存保护

ID：FedRAMP High SI-16 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用适用于服务器的 Azure Defender	适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。	AuditIfNotExists、Disabled	1.0.3
应在计算机上启用 Windows Defender 攻击防护	Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件，旨在锁定设备来阻隔各种攻击途径，并阻止恶意软件攻击中常用的行为，同时让企业能够平衡其安全风险和生产力要求（仅限 Windows）。	AuditIfNotExists、Disabled	1.1.1

后续步骤

有关 Azure Policy 的其他文章：

• 法规符合性概述。
• 请参阅计划定义结构。
• 在 Azure Policy 示例中查看其他示例。
• 查看了解策略效果。
• 了解如何修正不符合的资源。