你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此页面是 Azure Policy Azure 网络服务的内置策略定义的索引。 有关其他服务的附加Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure网络服务
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure 安全中心已确定某些子网不受下一代防火墙的保护。 通过使用Azure 防火墙或受支持的下一代防火墙限制对子网的访问,防止潜在威胁 | AuditIfNotExists、Disabled | 3.0.0-preview | |
| [预览]:应用程序网关应为区域可复原 | 应用程序网关可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的应用程序网关被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的应用程序网关被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:将Azure恢复服务保管库配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| 预览版:配置恢复服务保管库以使用专用 DNS 区域进行备份 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到恢复服务保管库。 有关详细信息,请访问:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [预览]:防火墙应为区域可复原 | 防火墙可配置为区域对齐、区域冗余或两者均不。 在其区域数组中恰好只有一个条目的防火墙被视为区域对齐。 相比之下,在其区域数组中拥有 3 个或更多条目的防火墙被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:负载均衡器应为区域可复原 | 具有非基本 sku 的负载均衡器继承其前端中公共 IP 地址的复原能力。 当与“公共 IP 地址应为区域可复原”策略相结合时,此方法可确保必要的冗余来承受区域中断。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:NAT 网关应为区域对齐 | NAT 网关可以配置为区域对齐或不对齐。 在其区域数组中恰好只有一个条目的 NAT 网关被视为区域对齐。 此策略可确保 NAT 网关配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:公共 IP 地址应为区域可复原 | 可将公共 IP 地址配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中恰好只有一个条目的区域性公共 IP 地址被视为区域对齐。 相比之下,拥有 3 个或更多条目的区域性公共 IP 地址在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.1.0-preview |
| [预览]:公共 IP 前缀应为可复原区域 | 公共 IP 前缀可配置为区域对齐、区域冗余或两者均不配置。 在其区域数组中只有一个条目的公共 IP 前缀被视为区域对齐。 相比之下,拥有 3 个或更多条目的公共 IP 前缀在其区域数组中被识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:虚拟网络网关应为区域冗余 | 可将虚拟网络网关配置为区域冗余或不配置。 SKU 名称或层不以“AZ”结尾的虚拟网络网关不是区域冗余。 此策略标识缺少承受区域中断所需冗余的虚拟网络网关。 | Audit、Deny、Disabled | 1.0.0-preview |
| 必须将自定义 IPsec/IKE 策略应用于所有Azure虚拟网络网关连接 | 此策略可确保所有Azure虚拟网络网关连接都使用自定义 Internet 协议安全性(Ipsec)/Internet 密钥Exchange(IKE)策略。 支持的算法和密钥强度 - https://aka.ms/AA62kb0 | Audit、Disabled | 1.0.0 |
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 审核每个虚拟网络的流日志配置 | 审核虚拟网络以验证是否配置了流日志。 启用流日志后,可记录流经虚拟网络的 IP 流量的相关信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应使用 WAF 部署 Azure Azure 应用程序网关 | 需要使用 Azure WAF 部署Azure 应用程序网关资源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 应用程序网关应启用资源日志 | 为Azure 应用程序网关(加上 WAF)启用资源日志,并将其流式传输到Log Analytics工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| Azure 防火墙经典规则应迁移到防火墙策略 | 从Azure 防火墙经典规则迁移到防火墙策略,以利用Azure 防火墙管理器等中央管理工具。 | Audit、Deny、Disabled | 1.0.0 |
| 应启用Azure 防火墙策略分析 | 启用策略分析可增强流量流经Azure 防火墙的可见性,从而优化防火墙配置,而不会影响应用程序性能 | Audit、Disabled | 1.0.0 |
| Azure 防火墙策略应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自Microsoft威胁情报源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙策略应启用 DNS 代理 | 启用 DNS 代理将使与此策略关联的Azure 防火墙侦听端口 53 并将 DNS 请求转发到指定的 DNS 服务器 | Audit、Disabled | 1.0.0 |
| 应将 Azure 防火墙 部署到多个可用性区域 | 为了提高可用性,我们建议部署Azure 防火墙以跨多个可用性区域。 这可确保在发生区域故障时,Azure 防火墙将保持可用状态。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙 标准 - 经典规则应启用威胁情报 | 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自Microsoft威胁情报源。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 防火墙 Standard 应升级到 Premium,以便进行下一代保护 | 如果要查找下一代保护(如 IDPS 和 TLS 检查),应考虑将Azure 防火墙升级到高级 SKU。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door应启用资源日志 | 为Azure Front Door(加上 WAF)启用资源日志,并将其流式传输到Log Analytics工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure VPN 网关不应使用“基本”SKU | 此策略可确保 VPN 网关不使用“基本”SKU。 | Audit、Disabled | 1.0.0 |
| Azure 应用程序网关Azure Web 应用程序防火墙应启用请求正文检查 | 确保与Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door上的 Azure Web 应用程序防火墙 应启用请求正文检查 | 确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 这样,WAF 就能检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。 | Audit、Deny、Disabled | 1.0.0 |
| 应为Azure Front Door入口点启用 Azure Web 应用程序防火墙 | 在面向公众的 Web 应用程序前部署Azure Web 应用程序防火墙(WAF),以进一步检查传入流量。 Web 应用程序防火墙(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| 应为 Azure 应用程序网关 WAF 启用 Bot Protection | 此策略可确保在所有Azure 应用程序网关 Web 应用程序防火墙(WAF)策略中启用机器人保护 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Front Door WAF 启用 Bot Protection | 此策略可确保在所有Azure Front Door Web 应用程序防火墙 (WAF) 策略中启用机器人保护 | Audit、Deny、Disabled | 1.0.0 |
| 为 Blob groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Blob groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 blob_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 blob_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 dfs_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 dfs_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为文件 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代文件 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为队列 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代队列 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 queue_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 queue_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为表 groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代表 groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 table_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 table_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Web groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 Web groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 web_secondary groupID 配置专用 DNS 区域 ID | 配置专用 DNS 区域组以替代 web_secondary groupID 专用终结点的 DNS 解析。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将应用服务应用配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域将虚拟网络链接到应用服务。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置Azure AI 搜索服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析到Azure AI 搜索服务。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置Azure Arc 专用链接范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Arc 专用链接范围。 有关详细信息,请访问:https://aka.ms/arc/privatelink。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置具有专用 DNS 区域的Azure 自动化帐户 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 需要正确配置专用 DNS 区域,以便通过Azure 专用链接连接到Azure 自动化帐户。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Cache for Redis配置企业版以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域可以链接到虚拟网络,以解析为 Azure Cache for Redis Enterprise。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Cache for Redis以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域可以链接到虚拟网络,以解析为Azure Cache for Redis。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Databricks工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Databricks工作区。 有关详细信息,请访问:https://aka.ms/adbpe。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置Azure设备更新,用于使用专用 DNS 区域IoT 中心帐户 | Azure 专用 DNS提供可靠的安全 DNS 服务,用于管理和解析虚拟网络中的域名,而无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略为设备更新部署专用 DNS 区域,IoT 中心专用终结点。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure 文件同步以使用专用 DNS 区域 | 若要从已注册的服务器访问存储同步服务资源接口的专用终结点,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略为存储同步服务专用终结点的接口创建必要的Azure 专用 DNS区域和 A 记录。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置Azure HDInsight群集以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure HDInsight群集。 有关详细信息,请访问:https://aka.ms/hdi.pl。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure配置密钥保管库以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到密钥保管库。 有关详细信息,请访问:https://aka.ms/akvprivatelink。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置Azure 机器学习工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure 机器学习工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置Azure 托管 Grafana工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure 托管 Grafana工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Migrate资源以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析到Azure Migrate项目。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Monitor 专用链接范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Monitor专用链接范围。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Synapse工作区以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Synapse工作区。 有关详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure 虚拟桌面配置主机池资源以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure 虚拟桌面资源。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure 虚拟桌面工作区资源以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure 虚拟桌面资源。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Web PubSub服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure Web PubSub服务。 有关详细信息,请访问:https://aka.ms/awps/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 BotService 资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 BotService 相关资源。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将认知服务帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到认知服务帐户。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2110097。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将容器注册表配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到容器注册表。 请访问 https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link 了解详细信息。 | DeployIfNotExists、Disabled | 1.0.1 |
| 将 CosmosDB 帐户配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 CosmosDB 帐户。 有关详细信息,请访问:https://aka.ms/privatednszone。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将Azure网络安全组的诊断设置配置为Log Analytics工作区 | 将诊断设置部署到Azure网络安全组,以将资源日志流式传输到Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将磁盘访问资源配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到托管磁盘。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将事件中心命名空间配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到事件中心命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用 Microsoft配置文件共享。文件共享以使用专用 DNS 区域 | 访问Microsoft的专用终结点。FileShares 资源,需要将 DNS 配置为将正确的名称解析为专用终结点的专用 IP 地址。 此策略为Microsoft的接口创建必需的Azure 专用 DNS区域和 A 记录。FileShares 专用终结点(s)。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置IoT 中心设备预配实例以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为IoT 中心设备预配服务实例。 有关详细信息,请访问:https://aka.ms/iotdpsvnet。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置网络安全组以启用流量分析 | 对于在特定区域中托管的所有网络安全组,可以使用策略创建期间提供的设置来启用流量分析。 如果已启用流量分析,则策略不会覆盖其设置。 对于没有流量日志的网络安全组,也会启用流量日志。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 将网络安全组配置为使用特定工作区、存储帐户和流日志保留策略进行流量分析 | 如果已启用流量分析,则策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.2.0 |
| 为连接到应用配置的专用终结点配置专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 可将专用 DNS 区域链接到你的虚拟网络,以解析应用配置实例。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 专用 DNS记录允许与专用终结点建立专用连接。 专用终结点连接允许通过启用与Azure 数据工厂的专用连接来实现安全通信,而无需在源或目标处使用公共 IP 地址。 有关Azure 数据工厂中的专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 专用 DNS记录允许与专用终结点建立专用连接。 专用终结点连接允许通过启用与Azure Maps帐户的专用连接来安全通信,而无需在源或目标处使用公共 IP 地址。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 配置 Azure AD 以使用专用 DNS 区域专用链接 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为 Azure AD。 有关详细信息,请访问:https://aka.ms/privateLinkforAzureADDocs。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置服务总线命名空间以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为服务总线命名空间。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置虚拟网络以启用流日志和流量分析 | 对于在特定区域中托管的所有虚拟网络,可以使用策略创建期间提供的设置来启用流量分析和流日志。 此策略不会覆盖已启用这些功能的虚拟网络的当前设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.1 |
| 配置虚拟网络以将特定工作区、存储帐户和保留间隔用于流日志和流量分析 | 如果虚拟网络已启用流量分析,则此策略将用创建策略期间提供的设置覆盖其现有设置。 流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 | DeployIfNotExists、Disabled | 1.1.2 |
| 在适用于 VNet Flowlog 的 NetworkWatcherRG 中创建区域 NetworkWatcher | 此策略在指定区域中创建一个网络观察程序,为虚拟网络启用 Flowlog。 | DeployIfNotExists、Disabled | 1.0.0 |
| Deploy - 将Azure 事件网格域配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| Deploy - 将Azure 事件网格主题配置为使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 有关详细信息,请访问:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| Deploy - 将Azure IoT中心配置为使用专用 DNS 区域 | Azure 专用 DNS提供可靠的安全 DNS 服务,用于管理和解析虚拟网络中的域名,而无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 此策略为IoT 中心专用终结点部署专用 DNS 区域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 部署 - 将 Azure IoT Central 配置为使用专用 DNS 区域 | Azure 专用 DNS提供可靠的安全 DNS 服务,用于管理和解析虚拟网络中的域名,而无需添加自定义 DNS 解决方案。 可将你自己的自定义域名用于专用终结点,使用专用 DNS 区域来替代 DNS 解析。 该策略将为 IoT Central 专用终结点部署专用 DNS 区域。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域链接到虚拟网络,以解析为Azure SignalR 服务资源。 有关详细信息,请访问:https://aka.ms/asrs/privatelink。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 部署 - 为连接到 Batch 帐户的专用终结点配置专用 DNS 区域 | 专用 DNS记录允许与专用终结点建立专用连接。 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 有关 Batch 中专用终结点和 DNS 区域的详细信息,请参阅 https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用目标网络安全组来部署流日志资源 | 配置特定网络安全组的流日志。 使用流日志,可以记录有关流经网络安全组的 IP 流量的信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | deployIfNotExists | 1.1.0 |
| 使用目标虚拟网络来部署流日志资源 | 配置特定虚拟网络的流日志。 这样,可记录流经虚拟网络的 IP 流量的相关信息。 流日志有助于识别未知或不需要的流量、验证网络隔离以及是否符合企业访问规则,并分析来自已被入侵的 IP 和网络接口的网络流量。 | DeployIfNotExists、Disabled | 1.1.1 |
| 为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | deployIfNotExists | 2.0.1 |
| 创建虚拟网络时部署网络观察程序 | 此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组,该资源组用于部署网络观察程序实例。 | DeployIfNotExists | 1.0.0 |
| 使用具有区域存储和集中Log Analytics的 VNet 流量分析部署 VNet 流日志。 在修正之前,请确保已部署 resourceGroupName 资源组、存储帐户、Log Analytics工作区网络观察程序。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 启用按类别组将应用程序网关 (microsoft.network/applicationgateways) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序网关 (microsoft.network/applicationgateways) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 应用程序网关(microsoft.network/applicationgateways)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序网关(microsoft.network/applicationgateways)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将应用程序网关 (microsoft.network/applicationgateways) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到应用程序网关 (microsoft.network/applicationgateways) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为 Bastion (microsoft.network/bastionhosts) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Bastion (microsoft.network/bastionhosts) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 将 Bastions(microsoft.network/bastionhosts)类别组的可日志记录Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Bastions(microsoft.network/bastionhosts)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为 Bastion (microsoft.network/bastionhosts) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Bastion (microsoft.network/bastionhosts) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ExpressRoute 线路(microsoft.network/expressroutecircuits)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 ExpressRoute 线路(microsoft.network/expressroutecircuits)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 ExpressRoute 线路 (microsoft.network/expressroutecircuits) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 防火墙(microsoft.network/azurefirewalls)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到防火墙(microsoft.network/azurefirewalls)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将防火墙 (microsoft.network/azurefirewalls) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到防火墙 (microsoft.network/azurefirewalls) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 防火墙(microsoft.network/azurefirewalls)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到防火墙(microsoft.network/azurefirewalls)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将防火墙 (microsoft.network/azurefirewalls) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到防火墙 (microsoft.network/azurefirewalls) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| Front Door 和 CDN 配置文件类别组(microsoft.network/frontdoors)的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Front Door 和 CDN 配置文件(microsoft.network/frontdoors)的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 Front Door 和 CDN 配置文件 (microsoft.network/frontdoors) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将负载均衡器 (microsoft.network/loadbalancers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到负载均衡器 (microsoft.network/loadbalancers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 将负载均衡器(microsoft.network/loadbalancers)类别组的可日志记录Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到负载均衡器(microsoft.network/loadbalancers)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将负载均衡器 (microsoft.network/loadbalancers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到负载均衡器 (microsoft.network/loadbalancers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/dnsresolverpolicies 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/dnsresolverpolicies 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/dnsresolverpolicies 的类别组启用日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/dnsresolverpolicies Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/dnsresolverpolicies 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/dnsresolverpolicies 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/networkmanagers/ipampools 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networkmanagers/ipampools 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/networkmanagers/ipampools 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到 microsoft.network/networkmanagers/ipampools Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/networkmanagers/ipampools 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networkmanagers/ipampools 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/networksecurityperimeters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networksecurityperimeters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/networksecurityperimeters 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networksecurityperimeters 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/networksecurityperimeters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/networksecurityperimeters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为 microsoft.network/p2svpngateways 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 microsoft.network/p2svpngateways 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| microsoft.network/p2svpngateways 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/p2svpngateways 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为 microsoft.network/p2svpngateways 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为 microsoft.network/p2svpngateways 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将 microsoft.network/vpngateways 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/vpngateways 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/vpngateways 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/vpngateways 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.network/vpngateways 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.network/vpngateways 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkanalytics/dataproducts 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Microsoft.networkanalytics/dataproducts 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkanalytics/dataproducts 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkanalytics/dataproducts 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkanalytics/dataproducts 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Microsoft.networkanalytics/dataproducts 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkcloud/baremetalmachines 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/baremetalmachines 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkcloud/baremetalmachines 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/baremetalmachines 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkcloud/baremetalmachines 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/baremetalmachines 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkcloud/clusters 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/clusters 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkcloud/clusters 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/clusters 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkcloud/clusters 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/clusters 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkcloud/storageappliances 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/storageappliances 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkcloud/storageappliances 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/storageappliances 的Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkcloud/storageappliances 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkcloud/storageappliances 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkfunction/azuretrafficcollectors 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkfunction/azuretrafficcollectors 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkfunction/azuretrafficcollectors 类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkfunction/azuretrafficcollectors Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将 microsoft.networkfunction/azuretrafficcollectors 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 microsoft.networkfunction/azuretrafficcollectors 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将网络管理器 (microsoft.network/networkmanagers) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络管理器 (microsoft.network/networkmanagers) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 网络管理器(microsoft.network/networkmanagers)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络管理器(microsoft.network/networkmanagers)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将网络管理器 (microsoft.network/networkmanagers) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络管理器 (microsoft.network/networkmanagers) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将网络安全组 (microsoft.network/networksecuritygroups) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络安全组 (microsoft.network/networksecuritygroups) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 网络安全组类别组(microsoft.network/networksecuritygroups)的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络安全组(microsoft.network/networksecuritygroups)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将网络安全组 (microsoft.network/networksecuritygroups) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到网络安全组 (microsoft.network/networksecuritygroups) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为公共 IP 地址 (microsoft.network/publicipaddresses) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为公共 IP 地址 (microsoft.network/publicipaddresses) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 按公共 IP 地址(microsoft.network/publicipaddresses)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到公共 IP 地址(microsoft.network/publicipaddresses)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为公共 IP 地址 (microsoft.network/publicipaddresses) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为公共 IP 地址 (microsoft.network/publicipaddresses) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将公共 IP 前缀 (microsoft.network/publicipprefixes) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到公共 IP 前缀 (microsoft.network/publicipprefixes) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按公共 IP 前缀(microsoft.network/publicipprefixes)类别组启用日志记录,以Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到公共 IP 前缀(microsoft.network/publicipprefixes)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将公共 IP 前缀 (microsoft.network/publicipprefixes) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到公共 IP 前缀 (microsoft.network/publicipprefixes) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 流量管理器配置文件(microsoft.network/trafficmanagerprofiles)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流量管理器配置文件(microsoft.network/trafficmanagerprofiles)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用按类别组将流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到流量管理器配置文件 (microsoft.network/trafficmanagerprofiles) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 按类别组为虚拟网关 (microsoft.network/virtualnetworkgateways) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为虚拟网关 (microsoft.network/virtualnetworkgateways) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 虚拟网络网关(microsoft.network/virtualnetworkgateways)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络网关(microsoft.network/virtualnetworkgateways)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为虚拟网关 (microsoft.network/virtualnetworkgateways) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为虚拟网关 (microsoft.network/virtualnetworkgateways) 将日志路由到存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将虚拟网络 (microsoft.network/virtualnetworks) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络 (microsoft.network/virtualnetworks) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 虚拟网络(microsoft.network/virtualnetworks)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络(microsoft.network/virtualnetworks)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 启用按类别组将虚拟网络 (microsoft.network/virtualnetworks) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到虚拟网络 (microsoft.network/virtualnetworks) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 启用速率限制规则,以防止 Azure Front Door WAF 上的 DDoS 攻击 | Azure Front Door Azure Web 应用程序防火墙 (WAF) 速率限制规则控制在速率限制期间允许从特定客户端 IP 地址到应用程序的请求数。 | Audit、Deny、Disabled | 1.0.0 |
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 不应在网关子网中配置网络安全组 | 如果在网关子网中配置了网络安全组,则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。 | deny | 1.0.0 |
| 将 WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略 | 如果你有 WAF 配置而非 WAF 策略,则可能需要移动到新的 WAF 策略。 之后,防火墙策略将支持 WAF 策略设置、托管规则集、排除项和禁用的规则组。 | Audit、Deny、Disabled | 1.0.0 |
| 网络接口应连接到已批准虚拟网络的已批准子网 | 此策略阻止网络接口连接到未经批准的虚拟网络或子网。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
| 网络接口应禁用 IP 转发 | 此策略拒绝启用了 IP 转发的网络接口。 IP 转发设置禁用Azure网络接口的源和目标检查。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络接口不应使用公共 IP | 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源将入站通信到Azure资源,并Azure资源与 Internet 通信。 网络安全团队应审查此设置。 | deny | 1.0.0 |
| 网络观察程序流日志应启用流量分析 | 流量分析分析流日志,以便深入了解Azure云中的流量流。 它可用于可视化跨Azure订阅的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络配置错误等。 | Audit、Disabled | 1.0.1 |
| 应启用 网络观察程序 | 网络观察程序是一项区域服务,可用于监视和诊断网络方案级别的条件,以及从Azure进行监视和诊断。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 公共 IP 地址应为 Azure DDoS 防护启用资源日志 | 为诊断设置中的公共 IP 地址启用资源日志,以流式传输到Log Analytics工作区。 详细了解利用通知、报告和流日志降低 DDoS 攻击所采取的攻击流量和操作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 公共 IP 和公共 IP 前缀应具有 FirstPartyUsage 标记 | 确保所有公共 IP 地址和公共 IP 前缀都有 FirstPartyUsage 标记。 | Audit、Deny、Disabled | 1.1.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含允许或拒绝发到子网的网络流量的访问控制列表(ACL)规则列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 子网应该是专用的 | 通过阻止默认出站访问来确保子网在默认情况下是安全的。 有关详细信息,请转到 https://aka.ms/defaultoutboundaccessretirement | Audit、Deny、Disabled | 1.1.0 |
| 将Azure 防火墙部署到虚拟中心,以保护和精细控制 Internet 出口和入口流量。 | Audit、Deny、Disabled | 1.0.0 | |
| 虚拟机应连接到已批准的虚拟网络 | 此策略审核任何已连接到未批准的虚拟网络的虚拟机。 | Audit、Deny、Disabled | 1.0.0 |
| 应通过 Azure DDoS 防护来保护虚拟网络 | 使用 Azure DDoS 防护来保护虚拟网络免受卷和协议攻击。 有关详细信息,请访问 https://aka.ms/ddosprotectiondocs。 | Modify、Audit、Disabled | 1.0.1 |
| 虚拟网络应使用指定的虚拟网络网关 | 如果默认路由未指向指定的虚拟网络网关,则此策略会审核任何虚拟网络。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN 网关应仅对点到站点用户使用Azure Active Directory(Azure AD)身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用Azure Active Directory标识进行身份验证,从而提高安全性。 在 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 了解有关 Azure AD 身份验证的详细信息 | Audit、Deny、Disabled | 1.0.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF | 在面向公众的 Web 应用程序前部署Azure Web 应用程序防火墙(WAF),以进一步检查传入流量。 Web 应用程序防火墙(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| Web 应用程序防火墙 (WAF) 应为应用程序网关使用指定的模式 | 要求对应用程序网关的所有Web 应用程序防火墙策略使用“检测”或“预防”模式处于活动状态。 | Audit、Deny、Disabled | 1.0.0 |
| Web 应用程序防火墙 (WAF) 应将指定的模式用于 Azure Front Door 服务 | 要求对所有Web 应用程序防火墙策略使用“检测”或“预防”模式来激活Azure Front Door 服务。 | Audit、Deny、Disabled | 1.0.0 |
后续步骤
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。