Azure 原則的內建原則定義

文章
10/30/2024

本頁面是 Azure 原則內建原則定義的索引。

Azure 入口網站中原則定義的每個內建連結名稱。使用 [來源] 資料行中的連結查看 Azure 原則 GitHub 存放庫上的來源。內建方案會依照中繼資料中的類別屬性來分組。若要移至特定類別，請使用 Ctrl-F 來取得瀏覽器的搜尋功能。

API for FHIR

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure API for FHIR 應使用客戶自控金鑰為待用資料加密	若需要符合法規或合規性需求，請使用客戶管理的金鑰來控制 Azure API for FHIR 中儲存的待用資料加密。客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密，來提供雙重加密。	稽核、稽核、停用、停用	1.1.0
Azure API for FHIR 應該使用私人連結	Azure API for FHIR 應該至少有一個已核准的私人端點連結。虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。如需詳細資訊，請瀏覽：https://aka.ms/fhir-privatelink。	Audit, Disabled	1.0.0
CORS 不應允許每個網域存取您的 API for FHIR	跨原始資源共用 (CORS) 不應允許所有網域存取適用於 FHIR 的 API。若要保護您適用於 FHIR 的 API，請移除所有網域的存取權，並明確定義允許連線的網域。	稽核、稽核、停用、停用	1.1.0

API 管理

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
APIM API 應一律只使用加密通訊協定	為了確保傳輸中資料的安全性，API 應該只能透過 HTTPS 或 WSS 等加密通訊協定來使用。請避免使用不安全的通訊協定，例如 HTTP 或 WS。	稽核、停用、拒絕	2.0.2
應驗證 APIM 對 API 後端的呼叫	從 API 管理到後端的呼叫應該使用某種驗證形式，無論是透過憑證或認證。不適用於 Service Fabric 後端。	稽核、停用、拒絕	1.0.1
APIM 呼叫 API 後端時，不應略過憑證指紋或名稱驗證	為了改善 API 安全性，APIM 應該驗證所有 API 呼叫的後端伺服器憑證。啟用 SSL 憑證指紋和名稱驗證。	稽核、停用、拒絕	1.0.2
不應啟用 APIM 直接管理端點	Azure APIM 中的直接管理 REST API 會略過 Azure Resource Manager 角色型存取控制、授權和節流機制，進而增加服務的弱點。	稽核、停用、拒絕	1.0.2
APIM 的最低 API 版本應設定為 2019-12-01 或更新版本	若要防止與唯讀使用者共用服務密碼，最低 API 版本應設定為 2019-12-01 或更新版本。	Audit, Deny, Disabled	1.0.1
APIM 祕密的具名值應儲存在 Azure Key Vault 中	具名值是每個 APIM 服務中的「名稱-值」組集合。祕密值可以儲存為 APIM 中的加密文字 (自訂祕密)，或藉由參考 Azure Key Vault 中的祕密來儲存。若要改善 APIM 和祕密的安全性，請從 Azure Key Vault 參考祕密的具名值。 Azure Key Vault 支援細微的存取管理和祕密輪替原則。	稽核、停用、拒絕	1.0.2
API 管理服務應該使用支援虛擬網路的 SKU	透過 API 管理支援的 SKU，將服務部署至虛擬網路可釋出 API 管理的進階網路及安全性功能，讓您有更大能力控制網路安全性設定。深入了解：https://aka.ms/apimvnet。	Audit, Deny, Disabled	1.0.0
API 管理服務應使用虛擬網路	Azure 虛擬網路部署提供增強的安全性、隔離，並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路，以存取網路和/或內部部署內的後端服務。開發人員入口網站與 API 閘道，可設定為從網際網路存取或只從虛擬網路內存取。	Audit, Deny, Disabled	1.0.2
APIM 應停用服務組態端點的公用網路存取	若要改善 APIM 服務的安全性，請限制服務組態端點 (例如直接存取管理 API)、Git 組態管理端點或自我裝載閘道組態端點的連線能力。	AuditIfNotExists, Disabled	1.0.1
APIM 應停用使用者名稱和密碼驗證	若要更佳地保護開發人員入口網站，應停用 APIM 中的使用者名稱和密碼驗證。透過 Azure AD 或 Azure AD B2C 識別提供者設定使用者驗證，並停用預設的使用者名稱和密碼驗證。	Audit, Disabled	1.0.1
APIM 訂用帳戶不應將範圍設定為所有 API	APIM 訂用帳戶的範圍應設定為產品或個別 API，而不是所有 API，否則可能會導致資料過度暴露。	稽核、停用、拒絕	1.1.0
Azure APIM 平台版本應該是 stv2	Azure APIM stv1 計算平台版本將於 2024 年 8 月 31 日淘汰，而且這些執行個體應移轉至 stv2 計算平台，以繼續獲得支援。深入了解：https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024	Audit, Deny, Disabled	1.0.0
設定 APIM 服務以停用對 APIM 公用服務設定端點的存取	若要改善 APIM 服務的安全性，請限制服務組態端點 (例如直接存取管理 API)、Git 組態管理端點或自我裝載閘道組態端點的連線能力。	DeployIfNotExists, Disabled	1.1.0
修改 APIM 以停用使用者名稱和密碼驗證	若要更佳地保護開發人員入口網站使用者帳戶及其認證，請透過 Azure AD 或 Azure AD B2C 識別提供者設定使用者驗證，並停用預設的使用者名稱和密碼驗證。	Modify	1.1.0

應用程式設定

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
應用程式組態應停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/appconfig/private-endpoint。	Audit, Deny, Disabled	1.0.0
應用程式組態應使用客戶自控金鑰	客戶自控金鑰提供先進的資料保護，可讓您管理加密金鑰。這通常需要符合合規性需求。	Audit, Deny, Disabled	1.1.0
應用程式組態應使用支援私人連結的 SKU	若使用支援的 SKU，Azure Private Link 可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至應用程式組態而非整個服務，您也會受到保護，而免於遭受資料洩漏風險。深入了解：https://aka.ms/appconfig/private-endpoint。	Audit, Deny, Disabled	1.0.0
應用程式組態應該使用異地複寫	使用異地復寫功能，在目前組態存放區的其他位置建立複本，以增強復原能力和可用性。此外，擁有多個區域複本可讓您更妥善地分散負載、降低延遲、防止數據中心中斷，以及將全域分散式工作負載分割。深入了解：https://aka.ms/appconfig/geo-replication。	AuditIfNotExists, Disabled	1.0.0
應用程式設定應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至應用程式組態而非整個服務，您也會受到保護，而免於遭受資料洩漏風險。深入了解：https://aka.ms/appconfig/private-endpoint。	AuditIfNotExists, Disabled	1.0.2
應用程式組態存放區應已停用本機驗證方法	停用本機驗證方法，確保應用程式組態存放區要求專用 Microsoft Entra 身分識別進行驗證。深入了解：https://go.microsoft.com/fwlink/?linkid=2161954。	Audit, Deny, Disabled	1.0.1
設定應用程式組態存放區，以停用本機驗證方法	停用本機驗證方法，讓您的應用程式組態存放區要求專用 Microsoft Entra 身分識別進行驗證。深入了解：https://go.microsoft.com/fwlink/?linkid=2161954。	修改、停用	1.0.1
設定應用程式組態以停用公用網路存取	停用應用程式組態的公用網路存取權，使其無法透過公用網際網路來存取。此設定可協助保護其免於資料洩漏風險。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/appconfig/private-endpoint。	修改、停用	1.0.0
設定連線到應用程式組態的私人端點私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域可以連結至您的虛擬網路，以解析應用程式組態執行個體。深入了解：https://aka.ms/appconfig/private-endpoint。	DeployIfNotExists, Disabled	1.0.0
設定應用程式組態的私人端點	私人端點可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。若將私人端點對應至應用程式組態執行個體，便可降低資料洩漏風險。深入了解：https://aka.ms/appconfig/private-endpoint。	DeployIfNotExists, Disabled	1.0.0

應用程式平台

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：稽核未啟用分散式追蹤的 Azure Spring Cloud 執行個體	Azure Spring Cloud 中的分散式追蹤工具可對應用程式中微服務之間的複雜相互關聯進行偵錯及監視。分散式追蹤工具應啟用並處於健全狀態。	Audit, Disabled	1.0.0-preview
Azure Spring Cloud 應使用網路插入	Azure Spring Cloud 執行個體應該使用虛擬網路插入來實現下列目的：1. 將 Azure Spring Cloud 與網際網路隔離。 2. 讓 Azure Spring Cloud 能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure Spring Cloud 的輸入和輸出網路通訊	稽核、停用、拒絕	1.2.0

應用程式服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
應將 App Service 應用程式插槽插入虛擬網路中	將 App Service 應用程式插入虛擬網路中，即可開啟進階的 App Service 網路與安全性功能，並為您提供更好的網路安全性設定控制權。深入了解：https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。	Audit, Deny, Disabled	1.0.0
App Service 應用程式插槽應停用公用網路存取	停用公用網路存取可確保 App Service 不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制 App Service 的曝光程度。深入了解：https://aka.ms/app-service-private-endpoint。	稽核、停用、拒絕	1.0.0
App Service 應用程式位置應啟用路由至 Azure 虛擬網路的設定	根據預設，提取容器映像和掛接內容儲存體等應用程式組態不會透過區域虛擬網路整合路由傳送。使用 API 將路由選項設定為 true，可透過 Azure 虛擬網路啟用組態流量。這些設定允許網路安全性群組和使用者定義路由等功能，以及將服務端點設為私人。如需詳細資訊，請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。	Audit, Deny, Disabled	1.0.0
App Service 應用程式插槽應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量	根據預設，如果使用的是區域 Azure 虛擬網路 (VNET) 整合，應用程式只會將 RFC1918 流量路由傳送到該個別的虛擬網路。使用 API 將 'vnetRouteAllEnabled' 設定為 true，可讓所有輸出流量進入 Azure 虛擬網路。此設定可讓網路安全性群組和使用者定義路由等功能用於來自 App Service 應用程式的所有輸出流量。	Audit, Deny, Disabled	1.0.0
App Service 應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」	用戶端憑證可讓應用程式針對連入要求來要求憑證。只有具備有效憑證的用戶端才能存取該應用程式。此原則適用於 HTTP 版本設定為 1.1 的應用程式。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式插槽應停用 FTP 部署的本機驗證方法	針對 FTP 部署停用本機驗證方法，藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	AuditIfNotExists, Disabled	1.0.3
App Service 應用程式插槽應停用 SCM 網站部署的本機驗證方法	針對 SCM 網站停用本機驗證方法，藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	AuditIfNotExists, Disabled	1.0.4
App Service 應用程式插槽應關閉遠端偵錯	遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。應關閉遠端偵錯。	AuditIfNotExists, Disabled	1.0.1
App Service 應用程式插槽應啟用資源記錄	稽核應用程式上資源記錄的啟用。如果發生安全性事件或網路遭到損害，這可讓您重新建立活動線索供調查之用。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式	跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。僅允許必要的網域與您的應用程式互動即可。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式位置應只能透過 HTTPS 來存取	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	稽核、停用、拒絕	2.0.0
App Service 應用程式插槽應只需要 FTPS	啟用 FTPS 強制執行以增強安全性。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式插槽應為其內容目錄使用 Azure 檔案共用	應用程式的內容目錄應位於 Azure 檔案共用上。檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容，請參閱：https://go.microsoft.com/fwlink/?linkid=2151594。	Audit, Disabled	1.0.0
App Service 應用程式插槽應使用最新的「HTTP 版本」	HTTP 會定期發行較新的版本，以解決安全性缺陷或納入其他功能。請使用適用於 Web 應用程式的最新 HTTP 版本，以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式插槽應使用受控識別	使用受控識別來增強驗證安全性	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式插槽應使用最新版的 TLS	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對 App Service 應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	AuditIfNotExists, Disabled	1.0.0
使用 JAVA 的 App Service 應用程式插槽應使用指定的「Java 版本」	Java 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議對 App Service 應用程式使用最新的 JAVA 版本，以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 JAVA 版本。	AuditIfNotExists, Disabled	1.0.0
使用 PHP 的 App Service 應用程式插槽應使用指定的「PHP 版本」	PHP 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議對 App Service 應用程式使用最新的 PHP 版本，以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 PHP 版本。	AuditIfNotExists, Disabled	1.0.0
使用 Python 的 App Service 應用程式插槽應使用指定的「Python 版本」	Python 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議對 App Service 應用程式使用最新的 Python 版本，以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 Python 版本。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式應插入虛擬網路中	將 App Service 應用程式插入虛擬網路中，即可開啟進階的 App Service 網路與安全性功能，並為您提供更好的網路安全性設定控制權。深入了解：https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。	Audit, Deny, Disabled	3.0.0
App Service 應用程式應停用公用網路存取	停用公用網路存取可確保 App Service 不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制 App Service 的曝光程度。深入了解：https://aka.ms/app-service-private-endpoint。	稽核、停用、拒絕	1.1.0
App Service 應用程式應啟用路由至 Azure 虛擬網路的設定	根據預設，提取容器映像和掛接內容儲存體等應用程式組態不會透過區域虛擬網路整合路由傳送。使用 API 將路由選項設定為 true，可透過 Azure 虛擬網路啟用組態流量。這些設定允許網路安全性群組和使用者定義路由等功能，以及將服務端點設為私人。如需詳細資訊，請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。	Audit, Deny, Disabled	1.0.0
App Service 應用程式應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量	根據預設，如果使用的是區域 Azure 虛擬網路 (VNET) 整合，應用程式只會將 RFC1918 流量路由傳送到該個別的虛擬網路。使用 API 將 'vnetRouteAllEnabled' 設定為 true，可讓所有輸出流量進入 Azure 虛擬網路。此設定可讓網路安全性群組和使用者定義路由等功能用於來自 App Service 應用程式的所有輸出流量。	Audit, Deny, Disabled	1.0.0
App Service 應用程式應啟用驗證	Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式，也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。	AuditIfNotExists, Disabled	2.0.1
App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」	用戶端憑證可讓應用程式針對連入要求來要求憑證。只有具備有效憑證的用戶端才能存取該應用程式。此原則適用於 HTTP 版本設定為 1.1 的應用程式。	AuditIfNotExists, Disabled	1.0.0
App Service 應用程式應停用 FTP 部署的本機驗證方法	針對 FTP 部署停用本機驗證方法，藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	AuditIfNotExists, Disabled	1.0.3
App Service 應用程式應停用 SCM 網站部署的本機驗證方法	針對 SCM 網站停用本機驗證方法，藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	AuditIfNotExists, Disabled	1.0.3
App Service 應用程式應關閉遠端偵錯	遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。應關閉遠端偵錯。	AuditIfNotExists, Disabled	2.0.0
App Service 應用程式應啟用資源記錄	稽核應用程式上資源記錄的啟用。如果發生安全性事件或網路遭到損害，這可讓您重新建立活動線索供調查之用。	AuditIfNotExists, Disabled	2.0.1
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式	跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。僅允許必要的網域與您的應用程式互動即可。	AuditIfNotExists, Disabled	2.0.0
應該僅限透過 HTTPS 來存取 App Service 應用程式	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	稽核、停用、拒絕	4.0.0
App Service 應用程式應只需要 FTPS	啟用 FTPS 強制執行以增強安全性。	AuditIfNotExists, Disabled	3.0.0
App Service應用程式應使用支援私人連結的 SKU	透過支援的 SKU，Azure Private Link 可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至應用程式，就能降低資料外洩風險。深入了解私人連結：https://aka.ms/private-link。	Audit, Deny, Disabled	4.1.0
App Service 應用程式應為其內容目錄使用 Azure 檔案共用	應用程式的內容目錄應位於 Azure 檔案共用上。檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容，請參閱：https://go.microsoft.com/fwlink/?linkid=2151594。	Audit, Disabled	3.0.0
App Service 應用程式應使用最新的「HTTP 版本」	HTTP 會定期發行較新的版本，以解決安全性缺陷或納入其他功能。請使用適用於 Web 應用程式的最新 HTTP 版本，以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。	AuditIfNotExists, Disabled	4.0.0
App Service 應用程式應使用受控識別	使用受控識別來增強驗證安全性	AuditIfNotExists, Disabled	3.0.0
App Service 應用程式應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。透過將私人端點對應至 App Service，就能降低資料外洩的風險。深入了解私人連結：https://aka.ms/private-link。	AuditIfNotExists, Disabled	1.0.1
App Service 應用程式應使用最新的 TLS 版本	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對 App Service 應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	AuditIfNotExists, Disabled	2.0.1
使用 JAVA 的 App Service 應用程式應使用指定的「JAVA 版本」	Java 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議對 App Service 應用程式使用最新的 JAVA 版本，以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 JAVA 版本。	AuditIfNotExists, Disabled	3.1.0
使用 PHP 的 App Service 應用程式應使用指定的「PHP 版本」	PHP 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議對 App Service 應用程式使用最新的 PHP 版本，以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 PHP 版本。	AuditIfNotExists, Disabled	3.2.0
使用 Python 的 App Service 應用程式應使用指定的「Python 版本」	Python 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議對 App Service 應用程式使用最新的 Python 版本，以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 Python 版本。	AuditIfNotExists, Disabled	4.1.0
App Service 環境應用程式不應能透過公用網際網路連線	為了確保在 App Service 環境中部署的應用程式無法透過公用網際網路存取，您應該使用虛擬網路中的 IP 位址來部署 App Service 環境。若要將 IP 位址設為虛擬網路 IP，App Service 環境必須使用內部負載平衡器進行部署。	Audit, Deny, Disabled	3.0.0
App Service 環境應使用最強的 TLS 加密套件來設定	App Service 環境正常運作所需的兩種最基本和最強大的加密套件為：TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 以及 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。	Audit, Disabled	1.0.0
App Service 環境應使用最新版本來佈建	只允許佈建第 2 版或第 3 版 App Service 環境。舊版 App Service 環境需要手動管理 Azure 資源，並具有更大的縮放限制。	Audit, Deny, Disabled	1.0.0
App Service 環境應啟用內部加密	將 InternalEncryption 設定為 True，會讓 App Service 環境中前端與背景工作角色之間的分頁檔、背景工作角色磁碟和內部網路流量加密。若要深入了解，請參閱 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。	Audit, Disabled	1.0.1
App Service 環境應停用 TLS 1.0 和 1.1	TLS 1.0 和 1.1 是不支援新式密碼編譯演算法的過時通訊協定。停用輸入 TLS 1.0 和 1.1 流量有助於保護 App Service 環境中的應用程式。	Audit, Deny, Disabled	2.0.1
設定 App Service 應用程式插槽以停用 FTP 部署的本機驗證	針對 FTP 部署停用本機驗證方法，藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	DeployIfNotExists, Disabled	1.0.3
設定 App Service 應用程式插槽以停用 SCM 網站的本機驗證	針對 SCM 網站停用本機驗證方法，藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	DeployIfNotExists, Disabled	1.0.3
設定 App Service 應用程式插槽以停用公用網路存取	停用 App Services 的公用網路存取，使其無法透過公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/app-service-private-endpoint。	修改、停用	1.1.0
將 App Service 應用程式位置設定為只能透過 HTTPS 存取	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	修改、停用	2.0.0
設定 App Service 應用程式插槽以關閉遠端偵錯	遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。應關閉遠端偵錯。	DeployIfNotExists, Disabled	1.1.0
將 App Service 應用程式插槽設定為使用最新的 TLS 版本	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對 App Service 應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	DeployIfNotExists, Disabled	1.1.0
設定 App Service 應用程式以停用 FTP 部署的本機驗證	針對 FTP 部署停用本機驗證方法，藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	DeployIfNotExists, Disabled	1.0.3
設定 App Service 應用程式以停用 SCM 網站的本機驗證	針對 SCM 網站停用本機驗證方法，藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/app-service-disable-basic-auth。	DeployIfNotExists, Disabled	1.0.3
設定 App Service 應用程式以停用公用網路存取	停用 App Services 的公用網路存取，使其無法透過公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/app-service-private-endpoint。	修改、停用	1.1.0
將 App Service 應用程式設定為只能透過 HTTPS 存取	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	修改、停用	2.0.0
將 App Service 應用程式設定為關閉遠端偵錯	遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。應關閉遠端偵錯。	DeployIfNotExists, Disabled	1.0.0
將 App Service 應用程式設定為使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會將虛擬網路連結至 App Service。深入了解：https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。	DeployIfNotExists, Disabled	1.0.1
將 App Service 應用程式設定為使用最新的 TLS 版本	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對 App Service 應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	DeployIfNotExists, Disabled	1.0.1
設定函數應用程式插槽以停用公用網路存取	停用函數應用程式的公用網路存取，使其無法透過公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/app-service-private-endpoint。	修改、停用	1.1.0
將函數應用程式插槽設定為只能經由 HTTPS 存取	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	修改、停用	2.0.0
設定函數應用程式插槽以關閉遠端偵錯	遠端偵錯需要在函式應用程式上開啟輸入連接埠。應關閉遠端偵錯。	DeployIfNotExists, Disabled	1.1.0
將函數應用程式插槽設定為使用最新的 TLS 版本	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對函數應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	DeployIfNotExists, Disabled	1.1.0
設定函數應用程式以停用公用網路存取	停用函數應用程式的公用網路存取，使其無法透過公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/app-service-private-endpoint。	修改、停用	1.1.0
將函數應用程式設定為只能經由 HTTPS 存取	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	修改、停用	2.0.0
將函數應用程式設定為關閉遠端偵錯	遠端偵錯需要在函數應用程式上開啟輸入連接埠。應關閉遠端偵錯。	DeployIfNotExists, Disabled	1.0.0
將函數應用程式設定為使用最新的 TLS 版本	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對函數應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	DeployIfNotExists, Disabled	1.0.1
函數應用程式插槽應停用公用網路存取	停用公用網路存取可確保函數應用程式不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制函數應用程式的曝光程度。深入了解：https://aka.ms/app-service-private-endpoint。	稽核、停用、拒絕	1.0.0
函數應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」	用戶端憑證可讓應用程式針對連入要求來要求憑證。只有具備有效憑證的用戶端才能存取該應用程式。此原則適用於 HTTP 版本設定為 1.1 的應用程式。	AuditIfNotExists, Disabled	1.0.0
函數應用程式插槽應關閉遠端偵錯	遠端偵錯需要在函數應用程式上開啟輸入連接埠。應關閉遠端偵錯。	AuditIfNotExists, Disabled	1.0.0
函數應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式	跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。請只允許必要網域與您的函式應用程式互動。	AuditIfNotExists, Disabled	1.0.0
函數應用程式插槽應只能透過 HTTPS 存取	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	稽核、停用、拒絕	2.0.0
函數應用程式插槽應該只需要 FTPS	啟用 FTPS 強制執行以增強安全性。	AuditIfNotExists, Disabled	1.0.0
函數應用程式插槽應使用 Azure 檔案共用作為其內容目錄	函數應用程式的內容目錄應位於 Azure 檔案共用上。檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容，請參閱：https://go.microsoft.com/fwlink/?linkid=2151594。	Audit, Disabled	1.0.0
函數應用程式插槽應使用最新的「HTTP 版本」	HTTP 會定期發行較新的版本，以解決安全性缺陷或納入其他功能。請使用適用於 Web 應用程式的最新 HTTP 版本，以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。	AuditIfNotExists, Disabled	1.0.0
函數應用程式插槽應使用最新版的 TLS	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對函數應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	AuditIfNotExists, Disabled	1.0.0
使用 JAVA 的函數應用程式插槽應使用指定的「JAVA 版本」	Java 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議使用適用於函式應用程式的最新 Java 版本，以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 JAVA 版本。	AuditIfNotExists, Disabled	1.0.0
使用 Python 的函數應用程式插槽應使用指定的「Python 版本」	Python 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議使用適用於函式應用程式的最新 Python 版本，以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 Python 版本。	AuditIfNotExists, Disabled	1.0.0
函數應用程式應停用公用網路存取	停用公用網路存取可確保函數應用程式不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制函數應用程式的曝光程度。深入了解：https://aka.ms/app-service-private-endpoint。	稽核、停用、拒絕	1.0.0
函數應用程式應已啟用驗證	Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式，也可以在擁有權杖的要求送達函數應用程式前予以驗證。	AuditIfNotExists, Disabled	3.0.0
函數應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」	用戶端憑證可讓應用程式針對連入要求來要求憑證。只有具備有效憑證的用戶端才能存取該應用程式。此原則適用於 HTTP 版本設定為 1.1 的應用程式。	AuditIfNotExists, Disabled	1.0.0
函數應用程式應關閉遠端偵錯	遠端偵錯需要在函數應用程式上開啟輸入連接埠。應關閉遠端偵錯。	AuditIfNotExists, Disabled	2.0.0
函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式	跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。請只允許必要網域與您的函式應用程式互動。	AuditIfNotExists, Disabled	2.0.0
應只能透過 HTTPS 存取函數應用程式	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。	稽核、停用、拒絕	5.0.0
函數應用程式應只需要 FTPS	啟用 FTPS 強制執行以增強安全性。	AuditIfNotExists, Disabled	3.0.0
函數應用程式應使用 Azure 檔案共用作為其內容目錄	函數應用程式的內容目錄應位於 Azure 檔案共用上。檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容，請參閱：https://go.microsoft.com/fwlink/?linkid=2151594。	Audit, Disabled	3.0.0
函數應用程式應使用最新的「HTTP 版本」	HTTP 會定期發行較新的版本，以解決安全性缺陷或納入其他功能。請使用適用於 Web 應用程式的最新 HTTP 版本，以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。	AuditIfNotExists, Disabled	4.0.0
函數應用程式應使用受控識別	使用受控識別來增強驗證安全性	AuditIfNotExists, Disabled	3.0.0
函數應用程式應使用最新的 TLS 版本	基於安全性缺陷，TLS 會定期發行較新的版本，包含其他功能與加速。針對函數應用程式升級至最新的 TLS 版本，以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。	AuditIfNotExists, Disabled	2.0.1
使用 JAVA 的函數應用程式應使用指定的「JAVA 版本」	Java 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議使用適用於函式應用程式的最新 Java 版本，以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 JAVA 版本。	AuditIfNotExists, Disabled	3.1.0
使用 Python 的函數應用程式應使用指定的「Python 版本」	Python 軟體會定期發行較新的版本，以解決安全性缺陷或納入其他功能。建議使用適用於函式應用程式的最新 Python 版本，以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。此原則僅適用於 Linux 應用程式。此原則會要求您指定符合需求的 Python 版本。	AuditIfNotExists, Disabled	4.1.0

證明

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 證明提供者應停用公用網路存取	若要改善 Azure 證明服務的安全性，請確定將其公開至公用網際網路，且只能從私人端點存取。停用公用網路存取屬性，如 aka.ms/azureattestation 中所述。此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。這會降低資料洩漏風險。	Audit, Deny, Disabled	1.0.0
Azure 證明提供者應使用私人端點	私人端點提供不需透過公用網際網路傳送流量，即可將 Azure 證明提供者連線至 Azure 資源的方法。藉由防止公用存取，私人端點可協助防範不需要的匿名存取。	AuditIfNotExists, Disabled	1.0.0

Automanage

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：應在您的電腦上啟用受控識別	由 Automanage 管理的資源應該具有受控識別。	Audit, Disabled	1.0.0-preview
[預覽]：Automanage 組態設定檔指派應為 Conformant	由 Automanage 管理的資源狀態應為 Conformant 或 ConformantCorrected。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：開機診斷應在虛擬機器上啟用	Azure 虛擬機器應該已啟用開機診斷。	Audit, Disabled	1.0.0-preview
設定虛擬機器以在 Azure Automanage 上線	Azure Automanage 會註冊、設定及監視虛擬機器，最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。請使用此原則將 Automanage 套用到您選取的範圍。	AuditIfNotExists、DeployIfNotExists、Disabled	2.4.0
設定虛擬機器，以便在 Azure Automanage 上線，並具有自訂組態設定檔	Azure Automanage 會註冊、設定及監視虛擬機器，最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。使用此原則，將 Automanage 與您自己的自訂組態設定檔套用至選取的範圍。	AuditIfNotExists、DeployIfNotExists、Disabled	1.4.0
應為 Windows Server Azure 版本 VM 啟用熱修補	使用熱修補快速將重新啟動和安裝更新次數降到最低。深入了解：https://docs.microsoft.com/azure/automanage/automanage-hotpatch	Audit, Deny, Disabled	1.0.0

自動化

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
自動化帳戶應該有受控識別	使用受控識別作為從 Runbook 向 Azure 資源進行驗證的建議方法。使用受控識別進行驗證更安全，且無須負擔在 Runbook 程式碼中使用 RunAs 帳戶相關聯的管理額外負荷。	Audit, Disabled	1.0.0
應加密自動化帳戶變數	儲存敏感性資料時，請務必為自動化帳戶變數資產啟用加密	Audit, Deny, Disabled	1.1.0
自動化帳戶應停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可以改為建立私人端點，以限制自動化帳戶資源的曝光狀況。深入了解：https://docs.microsoft.com/azure/automation/how-to/private-link-security。	Audit, Deny, Disabled	1.0.0
Azure 自動化帳戶應該已停用本機驗證方法	停用本機驗證方法可確保 Azure 自動化帳戶僅可透過 Azure Active Directory 識別身分來進行驗證，進而提升安全性。	Audit, Deny, Disabled	1.0.0
Azure 自動化帳戶應使用客戶自控金鑰加密待用資料	使用客戶自控金鑰來管理 Azure 自動化帳戶的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/automation-cmk。	Audit, Deny, Disabled	1.0.0
設定 Azure 自動化帳戶以停用本機驗證	停用本機驗證方法，讓您的 Azure 自動化帳戶僅可透過 Azure Active Directory 識別身分來進行驗證。	修改、停用	1.0.0
設定 Azure 自動化帳戶以停用公用網路存取	停用 Azure 自動化帳戶資源的公用網路存取，便無法透過公用網際網路存取該資源。此設定可協助保護其免於資料洩漏風險。您可以改為建立私人端點，以限制自動化帳戶資源的曝光狀況。深入了解：https://aka.ms/privateendpoints。	修改、停用	1.0.0
使用私人 DNS 區域設定 Azure 自動化帳戶	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。您需要正確設定私人 DNS 區域，才能透過 Azure Private Link 連線到 Azure 自動化帳戶。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0
在 Azure 自動化帳戶上設定私人端點連線	私人端點連線允許安全通訊，方法是啟用 Azure 自動化帳戶的私人連線，而無需來源或目的地上的公用 IP 位址。若要深入了解 Azure 自動化中的私人端點，請參閱 https://docs.microsoft.com/azure/automation/how-to/private-link-security。	DeployIfNotExists, Disabled	1.0.0
應啟用自動化帳戶上的私人端點連線	私人端點連線允許安全通訊，方法是啟用自動化帳戶的私人連線，而無需來源或目的地上的公用 IP 位址。若要深入了解 Azure 自動化中的私人端點，請參閱 https://docs.microsoft.com/azure/automation/how-to/private-link-security	AuditIfNotExists, Disabled	1.0.0

Azure Active Directory

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Active Directory Domain Services 受控網域應僅使用 TLS 1.2 模式	針對受控網域使用僅限 TLS 1.2 模式。根據預設，Azure AD Domain Services 可讓您使用 NTLM v1 和 TLS v1 等加密。某些舊版應用程式可能需要這些加密，但它們強度較弱，而如果您不需這些加密，則也可以加以停用。啟用僅限 TLS 1.2 模式時，提出要求的任何用戶端若未使用 TLS 1.2，都會失敗。深入了解：https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain。	Audit, Deny, Disabled	1.1.0

Azure AI 服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure AI 服務資源應停用金鑰存取 (停用本機驗證)	建議停用金鑰存取 (本機驗證) 以確保安全性。通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取，如果金鑰存取已停用，將無法運作。停用之後，Microsoft Entra ID 會成為唯一的存取方法，允許維護最低權限準則和細微控制。深入了解：https://aka.ms/AI/auth	Audit, Deny, Disabled	1.1.0
Azure AI 服務資源應限制網路存取	藉由限制網路存取，您可以確保只有允許的網路可以存取服務。可以藉由設定網路規則，只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。	Audit, Deny, Disabled	3.2.0
Azure AI 服務資源應該使用 Azure Private Link	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線，以降低資料外洩風險。深入了解私人連結，請造訪：https://aka.ms/AzurePrivateLink/Overview	Audit, Disabled	1.0.0
設定 Azure AI 服務資源應以停用本機金鑰存取 (停用本機驗證)	建議停用金鑰存取 (本機驗證) 以確保安全性。通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取，如果金鑰存取已停用，將無法運作。停用之後，Microsoft Entra ID 會成為唯一的存取方法，允許維護最低權限準則和細微控制。深入了解：https://aka.ms/AI/auth	DeployIfNotExists, Disabled	1.0.0
設定 Azure AI 服務資源應以停用本機金鑰存取 (停用本機驗證)	建議停用金鑰存取 (本機驗證) 以確保安全性。通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取，如果金鑰存取已停用，將無法運作。停用之後，Microsoft Entra ID 會成為唯一的存取方法，允許維護最低權限準則和細微控制。深入了解：https://aka.ms/AI/auth	DeployIfNotExists, Disabled	1.0.0
應啟用 Azure AI 服務資源中的診斷記錄	啟用 Azure AI 服務資源的記錄。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索供調查之用	AuditIfNotExists, Disabled	1.0.0

Azure Arc

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：拒絕延伸安全性更新 (ESU) 授權建立或修改。	此原則可讓您限制建立或修改 Windows Server 2012 Arc 電腦的 ESU 授權。如需價格的詳細資訊，請造訪 https://aka.ms/ArcWS2012ESUPricing	稽核, 拒絕, 停用	1.0.0-preview
[預覽]：啟用延伸安全性更新 (ESU) 授權，讓 Windows 2012 機器在支援生命週期結束後繼續獲得保護。	啟用延伸安全性更新 (ESU) 授權，讓 Windows 2012 機器即使在支援生命週期結束後仍可繼續獲得保護。了解如何準備透過 Azure Arc 傳遞 Windows Server 2012 的延伸安全性更新，請造訪 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。如需價格的詳細資訊，請造訪 https://aka.ms/ArcWS2012ESUPricing	DeployIfNotExists, Disabled	1.0.0-preview
應使用私人端點設定 Azure Arc 私人連結範圍	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至 Azure Arc 私人連結範圍，資料外洩風險就會降低。深入了解私人連結：https://aka.ms/arc/privatelink。	Audit, Disabled	1.0.0
Azure Arc 私人連結範圍應停用公用網路存取	停用公用網路存取可確保 Azure Arc 資源無法透過公用網際網路進行連線，進而改善安全性。建立私人端點可限制 Azure Arc 資源的曝光程度。深入了解：https://aka.ms/arc/privatelink。	Audit, Deny, Disabled	1.0.0
應使用 Azure Arc 私人連結範圍設定已啟用 Azure Arc 的 Kubernetes 叢集	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍，資料外洩風險就會降低。深入了解私人連結：https://aka.ms/arc/privatelink。	Audit, Deny, Disabled	1.0.0
應使用 Azure Arc 私人連結範圍設定啟用 Azure Arc 的伺服器	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍，資料外洩風險就會降低。深入了解私人連結：https://aka.ms/arc/privatelink。	Audit, Deny, Disabled	1.0.0
將 Azure Arc 私人連結範圍設定為停用公用網路存取	停用 Azure Arc 私人連結範圍的公用網路存取，讓相關聯的 Azure Arc 資源無法透過公用網際網路連線到 Azure Arc 服務。這可降低資料洩漏風險。深入了解：https://aka.ms/arc/privatelink。	修改、停用	1.0.0
設定 Azure Arc 私人連結範圍以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure Arc Private Link 範圍進行解析。深入了解：https://aka.ms/arc/privatelink。	DeployIfNotExists, Disabled	1.2.0
使用私人端點設定 Azure Arc 私人連結範圍	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至 Azure Arc 私人連結範圍，您可以降低資料外洩的風險。深入了解私人連結：https://aka.ms/arc/privatelink。	DeployIfNotExists, Disabled	2.0.0
將已啟用 Azure Arc 的 Kubernetes 叢集設定為使用 Azure Arc 私人連結範圍	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍，資料外洩風險就會降低。深入了解私人連結：https://aka.ms/arc/privatelink。	修改、停用	1.0.0
將啟用 Azure Arc 的伺服器設定為使用 Azure Arc 私人連結範圍	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍，資料外洩風險就會降低。深入了解私人連結：https://aka.ms/arc/privatelink。	修改、停用	1.0.0

Azure 資料總管

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 資料總管上的所有資料庫管理員都應該停用	停用所有資料庫管理員角色，以限制授與高度權限/系統管理使用者角色。	Audit, Deny, Disabled	1.0.0
Azure 資料總管叢集應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到您的 Azure 資料總管叢集，就能降低資料外洩的風險。深入了解私人連結：https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint。	Audit, Disabled	1.0.0
Azure 資料總管待用加密應使用客戶自控金鑰	在 Azure 資料總管叢集上使用客戶自控金鑰來啟用待用加密，可讓您進一步控制待用加密所使用的金鑰。這項功能通常適用於具有特殊合規性需求的客戶，而且需要 Key Vault 來管理金鑰。	Audit, Deny, Disabled	1.0.0
Azure 資料總管應該使用支援私人連結的 SKU	透過支援的 SKU，Azure Private Link 可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至應用程式，就能降低資料外洩風險。深入了解私人連結：https://aka.ms/private-link。	Audit, Deny, Disabled	1.0.0
使用私人端點設定 Azure 資料總管叢集	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至 Azure 資料總管，即可降低資料外洩風險。深入了解：[ServiceSpecificAKA.ms]。	DeployIfNotExists, Disabled	1.0.0
設定 Azure 資料總管以停用公用網路存取	停用公用網路存取屬性會關閉公用連線，因此只能從私人端點存取 Azure 資料總管。此組態會停用所有 Azure 資料總管叢集的公用網路存取。	修改、停用	1.0.0
應該在 Azure 資料總管上啟用磁碟加密	啟用磁碟加密可協助保護資料安全，以符合貴組織安全性和合規性承諾。	Audit, Deny, Disabled	2.0.0
應該在 Azure 資料總管上啟用雙重加密	啟用雙重加密可協助保護資料安全，以符合貴組織安全性和合規性承諾。啟用雙重加密時，儲存體帳戶中的資料會加密兩次；一次在服務層級，一次在基礎結構層級，且會使用兩個不同的加密演算法和兩個不同的金鑰。	Audit, Deny, Disabled	2.0.0
應停用 Azure 資料總管上的公用網路存取	停用公用網路存取屬性可提高安全性，方法是確定只能從私人端點存取 Azure 資料總管。此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	1.0.0
應該啟用 Azure 資料總管的虛擬網路插入	透過虛擬網路插入來保護您的網路周邊，可讓您強制執行網路安全性群組規則、與內部部署連線，以及使用服務端點來保護您的資料連線來源。	Audit, Deny, Disabled	1.0.0

Azure Databricks

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Databricks 叢集應該停用公用 IP	停用 Azure Databricks 工作區中叢集的公用 IP 可藉由確保叢集不會在公用網際網路上公開來改善安全性。深入了解：https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity。	Audit, Deny, Disabled	1.0.1
Azure Databricks 工作區應位於虛擬網路中	Azure 虛擬網路加強了 Azure Databricks 工作區的安全性及隔離性，並提供了子網路、存取控制原則及其他功能，以便進一步限制存取。深入了解：https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject。	Audit, Deny, Disabled	1.0.2
Azure Databricks 工作區應該是進階 SKU，可支援私人連結、客戶自控金鑰以進行加密等功能	僅允許具有進階 SKU 的 Databricks 工作區，貴組織可部署以支援私人連結、客戶自控金鑰以進行加密等功能。深入了解：https://aka.ms/adbpe。	Audit, Deny, Disabled	1.0.1
Azure Databricks 工作區應停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以控制資源的曝光狀況。深入了解：https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link。	Audit, Deny, Disabled	1.0.1
Azure Databricks 工作區應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。您可以將私人端點對應至 Azure Databricks 工作區，藉此降低資料洩漏風險。深入了解私人連結：https://aka.ms/adbpe。	Audit, Disabled	1.0.2
設定 Azure Databricks 工作區以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure Databricks 工作區進行解析。深入了解：https://aka.ms/adbpe。	DeployIfNotExists, Disabled	1.0.1
使用私人端點設定 Azure Databricks 工作區	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至 Azure Databricks 工作區，藉此降低資料洩漏風險。深入了解私人連結：https://aka.ms/adbpe。	DeployIfNotExists, Disabled	1.0.2
將 Azure Databricks 工作區的診斷設定設定為 Log Analytics 工作區	在建立或更新任何缺少此診斷設定的 Azure Databricks 工作區時，部署 Azure Databricks 工作區的診斷設定，以將資源記錄串流至 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.0.1
應啟用 Azure Databricks 工作區中的資源記錄	資源記錄可在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用。	AuditIfNotExists, Disabled	1.0.1

Azure Edge 硬體中心

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Edge 硬體中心裝置應啟用雙重加密支援	確保從 Azure Edge 硬體中心訂購的裝置已啟用雙重加密支援，以保護裝置上靜態資料的安全。此選項會新增第二層資料加密。	Audit, Deny, Disabled	2.0.0

Azure 負載測試

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：應僅針對虛擬網路中的私人端點執行使用 Azure 負載測試的負載測試。	Azure 負載測試引擎執行個體應該使用虛擬網路插入來實現下列目的：1. 將 Azure 負載測試引擎隔離至虛擬網路。 2. 讓 Azure 負載測試引擎能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure 負載測試引擎的輸入和輸出網路通訊。	Audit, Deny, Disabled	1.0.0-preview
Azure 負載測試資源應該使用客戶管理的金鑰來加密待用資料	使用客戶自控金鑰 (CMK) 來管理 Azure 負載測試資源的待用加密。根據預設，加密會使用服務管理的金鑰來完成，客戶自控金鑰可讓您使用自行建立和擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal。	Audit, Deny, Disabled	1.0.0

Azure Purview

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Purview 帳戶應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至 Azure Purview 帳戶而非整個服務，您也會受到保護，而免於遭受資料洩漏風險。深入了解：https://aka.ms/purview-private-link。	Audit, Disabled	1.0.0

Azure Stack Edge

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Stack Edge 裝置應該使用雙重加密	若要保護裝置上待用的資料，請確定其已雙重加密並已控制對資料的存取，以及在裝置停用之後，會安全地從資料磁碟清除資料。雙重加密是使用兩個層級的加密：資料磁碟區上的 BitLocker XTS-AES 256 位元加密，以及硬碟的內建加密。若要深入了解，請參閱特定Stack Edge 裝置的安全性概觀文件。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0

Azure 更新管理員

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：設定在 Azure 虛擬機器上排程定期更新的必要條件。	此原則會藉由將修補程式協調流程設定為「客戶自控排程」，設定在 Azure 更新管理員上排程定期更新所需的必要條件。這項變更會自動將修補程式模式設定為 'AutomaticByPlatform'，並且在 Azure VM 上將 'BypassPlatformSafetyChecksOnUserSchedule' 啟用為 'True'。必要條件不適用於已啟用 Arc 的伺服器。深入了解 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites	DeployIfNotExists, Disabled	1.1.0-preview
[預覽]：在已啟用 Azure Arc 的伺服器上設定遺漏系統更新的定期檢查	在已啟用 Azure Arc 的伺服器上設定作業系統更新的自動評估 (每 24 小時一次)。您可以根據機器訂用帳戶、資源群組、位置或標記來控制指派的範圍。在以下位置深入了解，針對 Windows：https://aka.ms/computevm-windowspatchassessmentmode，針對 Linux：https://aka.ms/computevm-linuxpatchassessmentmode。	修改	2.3.0
在 Azure 虛擬機器上設定遺漏系統更新的定期檢查	針對原生 Azure 虛擬機器上的 OS 更新，設定自動評量 (每隔 24 小時一次)。您可以根據機器訂用帳戶、資源群組、位置或標記來控制指派的範圍。在以下位置深入了解，針對 Windows：https://aka.ms/computevm-windowspatchassessmentmode，針對 Linux：https://aka.ms/computevm-linuxpatchassessmentmode。	修改	4.8.0
機器應該設定定期檢查，以檢查是否有遺漏的系統更新	為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量，AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。在以下位置深入了解 AssessmentMode 屬性，針對 Windows：https://aka.ms/computevm-windowspatchassessmentmode，針對 Linux：https://aka.ms/computevm-linuxpatchassessmentmode。	Audit, Deny, Disabled	3.7.0
使用 Azure 更新管理員排程週期性更新	您可以使用 Azure 中的 Azure 更新管理員，以儲存週期性部署排程，在 Azure、內部部署環境、以及使用已啟用 Azure Arc 的伺服器連線的其他雲端環境中，為您的 Windows Server 和 Linux 機器安裝作業系統更新。此原則也會將 Azure 虛擬機器的修補模式變更為「AutomaticByPlatform」。更多資訊：https://aka.ms/umc-scheduled-patching	DeployIfNotExists, Disabled	3.12.0

Backup

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure 備份延伸模組應該安裝在 AKS 叢集中	請確定在您的 AKS 叢集中保護備份延伸模組安裝，以利用 Azure 備份。適用於 AKS 的 Azure 備份是適用於 AKS 叢集的安全和雲端原生資料保護解決方案	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：應該為 AKS 叢集啟用 Azure 備份	藉由啟用 Azure 備份，確保您的 AKS 叢集受到保護。適用於 AKS 的 Azure 備份是適用於 AKS 叢集的安全和雲端原生資料保護解決方案。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：應該在儲存體帳戶中為 Blob 啟用 Azure 備份	藉由啟用 Azure 備份，確保您的儲存體帳戶受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：應該為受控磁碟啟用 Azure 備份	藉由啟用 Azure 備份，確保您的受控磁碟受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：Azure 備份保存庫應使用客戶自控金鑰來加密備份資料。也是強制執行基礎結構加密的選項。	如果已針對範圍中的備份保存庫啟用加密設定，此原則會遵循「效果」。此外，還有檢查備份保存庫是否也已啟用基礎結構加密的選項。請至https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk，即可深入瞭解。請注意，使用「拒絕」效果時，您必須在現有的備份保存庫上啟用加密設定，才能允許保存庫進行其他更新作業。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure 復原服務保存庫應該停用公用網路存取	停用公用網路存取可確保復原服務保存庫不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制復原服務保存庫的曝光程度。深入了解：https://aka.ms/AB-PublicNetworkAccess-Deny。	Audit, Deny, Disabled	1.0.0-preview
[預覽版]：Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料	使用客戶自控金鑰來管理備份資料的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/AB-CmkEncryption。	Audit, Deny, Disabled	1.0.0-preview
[預覽版]：Azure 復原服務保存庫應使用私人連結進行備份	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。將私人端點對應至 Azure 復原服務保存庫，可降低資料洩漏風險。深入了解私人連結：https://aka.ms/AB-PrivateEndpoints。	Audit, Disabled	2.0.0-preview
[預覽]：設定 Azure 復原服務保存庫以停用公用網路存取	停用復原服務保存庫的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/AB-PublicNetworkAccess-Deny。	修改、停用	1.0.0-preview
[預覽]：針對具有指定標籤的 Azure 磁碟 (受控磁碟)，設定備份至同一區域中現有的備份保存庫	將含有指定標籤的所有 Azure 磁碟 (受控磁碟) 強制備份到中央備份保存庫。深入了解：https://aka.ms/AB-DiskBackupAzPolicies	DeployIfNotExists、AuditIfNotExists、Disabled	1.0.0-preview
[預覽]：針對沒有指定標籤的 Azure 磁碟 (受控磁碟)，設定備份至同一區域中現有的備份保存庫	將沒有指定標籤的所有 Azure 磁碟 (受控磁碟) 強制備份到中央備份保存庫。深入了解：https://aka.ms/AB-DiskBackupAzPolicies	DeployIfNotExists、AuditIfNotExists、Disabled	1.0.0-preview
[預覽]：針對儲存體帳戶中具有指定標籤的 Blob，設定備份至同一區域中現有的備份保存庫	將所有儲存體帳戶中含有指定標籤的 blob 強制備份到中央備份保存庫。這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。如需詳細資訊，請參閱 https://aka.ms/AB-BlobBackupAzPolicies	DeployIfNotExists、AuditIfNotExists、Disabled	2.0.0-preview
[預覽]：針對所有儲存體帳戶中不含指定標籤的 Blob，設定備份至同一區域中的備份保存庫	將所有儲存體帳戶中不含指定標籤的 blob 強制備份到中央備份保存庫。這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。如需詳細資訊，請參閱 https://aka.ms/AB-BlobBackupAzPolicies	DeployIfNotExists、AuditIfNotExists、Disabled	2.0.0-preview
[預覽]：設定復原服務保存庫，以使用私人 DNS 區域進行備份	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對您的復原服務保存庫進行解析。深入了解：https://aka.ms/AB-PrivateEndpoints。	DeployIfNotExists, Disabled	1.0.1-preview
[預覽]：設定復原服務保存庫，以使用私人端點進行備份	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。透過將私人端點對應至復原服務保存庫，有助於降低資料洩漏風險。請注意，您的保存庫必須符合特定先決條件，才能符合私人端點設定的資格。深入了解：https://go.microsoft.com/fwlink/?linkid=2187162。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：停用 Azure 復原服務保存庫的跨訂用帳戶還原	停用或永久停用復原服務保存庫的跨訂用帳戶還原，讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。深入了解：https://aka.ms/csrenhancements。	修改、停用	1.1.0-preview
[預覽]：停用備份保存庫的跨訂用帳戶還原	停用或永久停用備份保存庫的跨訂用帳戶還原，讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。深入了解：https://aka.ms/csrstatechange。	修改、停用	1.1.0-preview
[預覽]：不允許建立所選擇儲存體備援的復原服務保存庫。	復原服務保存庫現在可以透過三個儲存體備援選項中的任何一個來建立，也就是本機備援儲存體、區域備援儲存體和異地備援儲存體。如果貴組織中的原則要求您封鎖建立屬於特定備援類型的保存庫，您可以使用此 Azure 原則來達成相同的目標。	稽核, 拒絕, 停用	1.0.0-preview
[預覽]：備份保存庫必須啟用不變性	此原則會稽核範圍中備份保存庫的不可變保存庫屬性是否已啟用。這有助於保護備份資料在預定到期日之前不會遭到刪除。請至https://aka.ms/AB-ImmutableVaults，即可深入瞭解。	Audit, Disabled	1.0.1-preview
[預覽]：復原服務保存庫必須啟用不變性	此原則會稽核範圍中復原服務保存庫的不可變保存庫屬性是否已啟用。這有助於保護備份資料在預定到期日之前不會遭到刪除。請至https://aka.ms/AB-ImmutableVaults，即可深入瞭解。	Audit, Disabled	1.0.1-preview
[預覽]：在具有指定標籤的 AKS 叢集 (受控叢集) 中安裝 Azure 備份延伸模組。	安裝 Azure 備份延伸模組是保護 AKS 叢集的必要條件。在包含指定標籤的所有 AKS 叢集上強制執行安裝備份延伸模組。這樣做可協助您大規模管理 AKS 叢集的備份。	AuditIfNotExists、DeployIfNotExists、Disabled	1.0.0-preview
[預覽]：在沒有指定標籤的 AKS 叢集 (受控叢集) 中安裝 Azure 備份延伸模組。	安裝 Azure 備份延伸模組是保護 AKS 叢集的必要條件。在沒有特定標籤值的所有 AKS 叢集上強制執行安裝備份延伸模組。這樣做可協助您大規模管理 AKS 叢集的備份。	AuditIfNotExists、DeployIfNotExists、Disabled	1.0.0-preview
[預覽]：必須針對備份保存庫啟用多使用者授權 (MUA)。	此原則會稽核備份保存庫是否已啟用多使用者授權 (MUA)。 MUA 藉由將額外的保護層新增至關鍵作業，協助保護您的備份保存庫。若要深入了解，請瀏覽 https://aka.ms/mua-for-bv。	Audit, Disabled	1.0.0-preview
[預覽]：必須針對復原服務保存庫啟用多使用者授權 (MUA)。	此原則會稽核復原服務保存庫是否已啟用多使用者授權 (MUA)。 MUA 藉由將額外的保護層新增至關鍵作業，協助保護您的復原服務保存庫。若要深入了解，請瀏覽 https://aka.ms/MUAforRSV。	Audit, Disabled	1.0.0-preview
[預覽]：復原服務保存庫必須啟用虛刪除。	此原則會稽核範圍中復原服務保存庫的虛刪除是否已啟用。虛刪除可協助您復原資料，即使在資料已刪除之後也一樣。請至https://aka.ms/AB-SoftDelete，即可深入瞭解。	Audit, Disabled	1.0.0-preview
[預覽]：備份保存庫應該啟用虛刪除	此原則會稽核範圍中備份保存庫的虛刪除是否已啟用。虛刪除可協助您在刪除資料之後復原資料。深入了解：https://aka.ms/AB-SoftDelete	Audit, Disabled	1.0.0-preview
應該為虛擬機器啟用 Azure 備份	藉由啟用 Azure 備份，確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。	AuditIfNotExists, Disabled	3.0.0
將具有指定標籤之虛擬機器上的備份，設定為使用預設原則的新復原服務保存庫	在與虛擬機器相同的位置和資源群組中部署復原服務保存庫，以強制執行所有虛擬機器的備份。當組織中的不同應用程式小組配置了不同的資源群組，且需要管理其本身的備份和還原時，這樣做會很有用。您可以選擇性地納入包含指定標籤的虛擬機器，以控制指派的範圍。請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	9.3.0
將具有指定標籤之虛擬機器上的備份，設定為位於相同位置的現有復原服務保存庫	將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫，以強制執行所有虛擬機器的備份。當您的組織以中央小組管理訂用帳戶中所有資源的備份時，這樣做會很有用。您可以選擇性地納入包含指定標籤的虛擬機器，以控制指派的範圍。請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	9.3.0
將沒有指定標籤之虛擬機器上的備份，設定為使用預設原則的新復原服務保存庫	在與虛擬機器相同的位置和資源群組中部署復原服務保存庫，以強制執行所有虛擬機器的備份。當組織中的不同應用程式小組配置了不同的資源群組，且需要管理其本身的備份和還原時，這樣做會很有用。您可以選擇性地排除包含指定標籤的虛擬機器，以控制指派的範圍。請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	9.3.0
將沒有指定標籤之虛擬機器上的備份，設定為相同位置中的現有復原服務保存庫	將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫，以強制執行所有虛擬機器的備份。當您的組織以中央小組管理訂用帳戶中所有資源的備份時，這樣做會很有用。您可以選擇性地排除包含指定標籤的虛擬機器，以控制指派的範圍。請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	9.3.0
為復原服務保存庫將診斷設定部署到 Log Analytics 工作區，以納入資源專屬類別。	為復原服務保存庫將診斷設定部署到 Log Analytics 工作區，以串流至資源專屬類別。如果沒有啟用任何資源專屬類別，則會建立新的診斷設定。	deployIfNotExists	1.0.2

Batch

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Batch 帳戶應使用客戶自控金鑰加密資料	使用客戶自控金鑰來管理 Batch 帳戶資料的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/Batch-CMK。	Audit, Deny, Disabled	1.0.1
Azure Batch 集區應啟用磁碟加密	啟用 Azure Batch 磁碟加密可確保 Azure Batch 計算節點上的資料一律會待用加密。若要深入了解 Batch 中的磁碟加密，請參閱 https://docs.microsoft.com/azure/batch/disk-encryption。	稽核、停用、拒絕	1.0.0
Batch 帳戶應停用本機驗證方法	確保驗證時 Batch 帳戶要求 Azure Active Directory 以獨佔方式識別，並停用本機驗證方法來提升安全性。深入了解：https://aka.ms/batch/auth。	Audit, Deny, Disabled	1.0.0
設定 Batch 帳戶停用本機驗證	停用位置驗證方法，讓您的 Batch 帳戶在驗證時，要求 Azure Active Directory 以獨佔方式識別。深入了解：https://aka.ms/batch/auth。	修改、停用	1.0.0
設定 Batch 帳戶以停用公用網路存取	確保您的 Batch 帳戶只能從私人端點存取，並停用 Batch 帳戶的公用網路存取改善安全性。若要深入了解停用公用網路存取，請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。	修改、停用	1.0.0
使用私人端點設定 Batch 帳戶	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。對應私人端點與 Batch 帳戶，即可降低資料外洩風險。深入了解私人連結：https://docs.microsoft.com/azure/batch/private-connectivity。	DeployIfNotExists, Disabled	1.0.0
部署 - 為連線到 Batch 帳戶的私人端點設定私人 DNS 區域	私人 DNS 記錄允許針對私人端點的私人連線。私人端點連線允許安全通訊，方法是啟用 Batch 帳戶的私人連線，而無需來源或目的地上的公用 IP 位址。如需 Azure Batch 中私人端點和 DNS 區域的詳細資訊，請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。	DeployIfNotExists, Disabled	1.0.0
Batch 帳戶上應設定計量警示規則	稽核 Batch 帳戶為啟用必要計量而進行的計量警示設定	AuditIfNotExists, Disabled	1.0.0
應啟用 Batch 帳戶上的私人端點連線	私人端點連線允許安全通訊，方法是啟用 Batch 帳戶的私人連線，而無需來源或目的地上的公用 IP 位址。若要深入了解 Batch 中的私人端點，請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。	AuditIfNotExists, Disabled	1.0.0
建議停用 Batch 帳戶的公用網路存取	確保您的 Batch 帳戶只能從私人端點存取，並停用 Batch 帳戶的公用網路存取改善安全性。若要深入了解停用公用網路存取，請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。	Audit, Deny, Disabled	1.0.0
應啟用 Batch 帳戶中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0

機器人服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Bot 服務端點應為有效的 HTTPS URI	資料可能會在傳輸期間遭到篡改。通訊協定的存在會提供加密來解決誤用和篡改的問題。若要確保您的 Bot 只會透過加密通道通訊，請將端點設定為有效的 HTTPS URI。這可確保使用 HTTPS 通訊協定來加密傳輸中的資料，而且通常也符合法規或業界標準的需求。請造訪：https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0
Bot Service 應使用客戶自控金鑰進行加密	Azure Bot Service 會自動加密您的資源，以保護您的資料，並符合組織安全性和合規性承諾。依預設，系統會使用 Microsoft 代控加密金鑰。若要在管理金鑰或控制訂用帳戶存取權方面有更大的彈性，請選取客戶自控金鑰，也稱為攜帶您自己的金鑰 (BYOK)。深入了解 Azure Bot Service 加密：https://docs.microsoft.com/azure/bot-service/bot-service-encryption。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0
Bot Service 應啟用隔離模式	Bot 應設定為「僅限隔離」模式。此設定會設定 Bot Service 通道，要求透過要停用的公用網際網路傳送流量。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.0
Bot 服務應停用本機驗證方法	停用本機驗證方法，可確保 Bot 只使用 AAD 來進行驗證，以提高安全性。	Audit, Deny, Disabled	1.0.0
Bot Service 應停用公用網路存取	Bot 應設定為「僅限隔離」模式。此設定會設定 Bot Service 通道，要求透過要停用的公用網際網路傳送流量。	Audit, Deny, Disabled	1.0.0
BotService 資源應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到您的 BotService 資源，資料外洩風險就會降低。	Audit, Disabled	1.0.0
設定 BotService 資源以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 BotService 相關資源進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 BotService 資源	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至您的 BotService 資源，就可以降低資料洩漏風險。	DeployIfNotExists, Disabled	1.0.0

Cache

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Cache for Redis Enterprise 應該使用客戶自控金鑰來加密磁碟資料	使用客戶自控金鑰 (CMK) 來管理磁碟上資料的待用加密。根據預設，客戶資料會使用平台代控金鑰 (PMK) 進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/RedisCMK。	Audit, Deny, Disabled	1.0.0
Azure Cache for Redis Enterprise 應該使用私人連結	私人端點可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。只要將私人端點對應到您的 Azure Cache for Redis Enterprise 執行個體，就能降低資料外洩的風險。深入了解：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists, Disabled	1.0.0
Azure Cache for Redis 應停用公用網路存取	停用公用網路存取可確保 Azure Cache for Redis 不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制 Azure Cache for Redis 的曝光狀況。深入了解：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	Audit, Deny, Disabled	1.0.0
Azure Cache for Redis 不應該使用存取金鑰進行驗證	不使用本機驗證方法，例如存取金鑰，而使用更安全的替代方案，例如 Microsoft Entra ID (建議) 可改善 Azure Cache for Redis 的安全性。在 aka.ms/redis/disableAccessKeyAuthentication 深入了解	Audit, Deny, Disabled	1.0.0
Azure Cache for Redis 應使用私人連結	私人端點可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。只要將私人端點對應到您的 Azure Cache for Redis 執行個體，就能降低資料外洩的風險。深入了解：https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。	AuditIfNotExists, Disabled	1.0.0
設定 Azure Cache for Redis Enterprise 以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域可以連結至您的虛擬網路，以針對 Azure Cache for Redis Enterprise 進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure Cache for Redis Enterprise	私人端點可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。只要將私人端點對應到您的 Azure Cache for Redis Enterprise 資源，就能降低資料洩漏風險。深入了解：https://aka.ms/redis/privateendpoint。	DeployIfNotExists, Disabled	1.1.0
設定 Azure Cache for Redis 以停用非 SSL 連接埠	對 Azure Cache for Redis 啟用僅限 SSL 連線。使用安全連線可確保伺服器與服務之間的驗證，避免傳輸中的資料遭受網路層的攻擊，例如中間人攻擊、竊聽及工作階段劫持	修改、停用	1.0.0
設定 Azure Cache for Redis 以停用公用網路存取	停用 Azure Cache for Redis 資源的公用網路存取，使其無法經由公用網際網路存取。這可協助保護快取免於資料洩漏風險。	修改、停用	1.0.0
設定 Azure Cache for Redis 以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域可以連結至您的虛擬網路，以針對 Azure Cache for Redis 進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure Cache for Redis	私人端點可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。只要將私人端點對應到您的 Azure Cache for Redis 資源，就能降低資料洩漏風險。深入了解：https://aka.ms/redis/privateendpoint。	DeployIfNotExists, Disabled	1.0.0
只允許對您 Azure Cache for Redis 的安全連線	稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。使用安全連線可確保伺服器與服務之間的驗證，避免傳輸中的資料遭受網路層的攻擊，例如中間人攻擊、竊聽及工作階段劫持	Audit, Deny, Disabled	1.0.0

CDN

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Front Door 設定檔應使用支援受控 WAF 規則和私人連結的進階階層	Azure Front Door 進階版支援 Azure 受控 WAF 規則以及私人連結以支援 Azure 來源。	Audit, Deny, Disabled	1.0.0
Azure Front Door 標準版與進階版應執行最低 TLS 版本 1.2	將最低的 TLS 版本設定為 1.2 可確保使用 TLS 1.2 或更新版本從用戶端存取自訂網域，進而改善安全性。不建議使用低於 1.2 的 TLS 版本，因為其很弱，而且不支援新式密碼編譯演算法。	Audit, Deny, Disabled	1.0.0
保護 Azure Front Door 進階版與 Azure 儲存體 Blob 之間或 Azure App Service 的私人連線	私人連結可確保 AFD Premium 與 Azure 儲存體 Blob 或 Azure App Service 在 Azure 骨幹網路之間的私人連線，而不會將 Azure 儲存體 Blob 或 Azure App Service 向網際網路公開。	Audit, Disabled	1.0.0

ChangeTrackingAndInventory

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：將已啟用 Linux Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯	部署關聯，以將已啟用 Linux Arc 的機器連結至指定的資料收集規則，以啟用 ChangeTracking 和 Inventory。當支援增加時，位置清單會隨之更新。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：設定已啟用 Linux Arc 的機器，以安裝 ChangeTracking 和 Inventory 的 AMA	自動在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式延伸模組，以啟用 ChangeTracking 和 Inventory。如果區域有支援，此原則便會安裝延伸模組。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.3.0-preview
[預覽]：將 Linux 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯	部署關聯，以將 Linux 虛擬機器連結至指定的資料收集規則，以啟用 ChangeTracking 和 Inventory。當支援增加時，位置和 OS 映像的清單會隨之更新。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：將 Linux VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA	自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組，以啟用 ChangeTracking 和 Inventory。如果支援 OS 和區域，或用其他方法略過了安裝，則此原則會安裝延伸模組，並對其進行設定，以便利用使用者指派的受控識別。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.5.0-preview
[預覽]：將 Linux VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯	部署關聯，以將 Linux 虛擬機器擴展集連結至指定的資料收集規則，以啟用 ChangeTracking 和 Inventory。當支援增加時，位置和 OS 映像的清單會隨之更新。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：將 Linux VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA	自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組，以啟用 ChangeTracking 和 Inventory。如果支援 OS 和區域，或用其他方法略過了安裝，則此原則會安裝延伸模組，並對其進行設定，以便利用使用者指派的受控識別。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.4.0-preview
[預覽]：將已啟用 Windows Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯	部署關聯，以將已啟用 Windows Arc 的機器連結至指定的資料收集規則，以啟用 ChangeTracking 和 Inventory。當支援增加時，位置清單會隨之更新。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：設定已啟用 Windows Arc 的機器，以安裝 ChangeTracking 和 Inventory 的 AMA	自動在已啟用 Windows Arc 的機器上部署 Azure 監視器代理程式延伸模組，以啟用 ChangeTracking 和 Inventory。如果支援 OS 和區域且已啟用系統指派的受控識別，則此原則會安裝延伸模組，否則會略過安裝。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：將 Windows 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯	部署關聯，以將 Windows 虛擬機器連結至指定的資料收集規則，以啟用 ChangeTracking 和 Inventory。當支援增加時，位置和 OS 映像的清單會隨之更新。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：將 Windows VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA	自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組，以啟用 ChangeTracking 和 Inventory。如果支援 OS 和區域，或用其他方法略過了安裝，則此原則會安裝延伸模組，並對其進行設定，以便利用使用者指派的受控識別。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.1.0-preview
[預覽]：將 Windows VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯	部署關聯，以將 Windows 虛擬機器擴展集連結至指定的資料收集規則，以啟用 ChangeTracking 和 Inventory。當支援增加時，位置和 OS 映像的清單會隨之更新。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：將 Windows VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA	自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組，以啟用 ChangeTracking 和 Inventory。如果支援 OS 和區域，或用其他方法略過了安裝，則此原則會安裝延伸模組，並對其進行設定，以便利用使用者指派的受控識別。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.1.0-preview

認知服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK)	使用客戶管理的金鑰來加密待用資料，可提供對金鑰生命週期的更多控制，包括輪替和管理。這與具有相關合規性需求的組織特別相關。根據預設，這不會進行評估，而且只有在合規性或限制性原則需求需要時才應套用。如果未啟用，則會使用平台管理的金鑰來加密資料。若要實作此作業，請在適用範圍的安全原則中更新 'Effect' 參數。	Audit, Deny, Disabled	2.2.0
認知服務帳戶應使用受控識別	將受控識別指派給您的認知服務帳戶，有助於確保進行安全驗證。此認知服務帳戶會使用此身分識別，以如 Azure Key Vault 等安全的方式與其他 Azure 服務通訊，而不需管理任何認證。	Audit, Deny, Disabled	1.0.0
認知服務帳戶應使用客戶擁有的儲存體	使用客戶擁有的儲存體來控制在認知服務中儲存的待用資料。若要深入瞭解客戶擁有的儲存體，請造訪 https://aka.ms/cogsvc-cmk。	Audit, Deny, Disabled	2.0.0
設定認知服務帳戶以停用本機驗證方法	停用本機驗證方法，讓您的認知服務帳戶要求 Azure Active Directory 以獨佔方式識別來進行驗證。深入了解：https://aka.ms/cs/auth。	修改、停用	1.0.0
設定認知服務帳戶以停用公用網路存取	停用認知服務資源的公用網路存取權，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://go.microsoft.com/fwlink/?linkid=2129800。	已停用，修改	3.0.0
設定認知服務帳戶以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對認知服務帳戶進行解析。深入了解：https://go.microsoft.com/fwlink/?linkid=2110097。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定認知服務帳戶	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。透過將私人端點對應至認知服務，您可以降低資料洩漏的可能性。深入了解私人連結：https://go.microsoft.com/fwlink/?linkid=2129800。	DeployIfNotExists, Disabled	3.0.0

通訊

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
通訊服務資源應該使用受控識別	將受控識別指派給您的通訊服務資源，有助於確保進行安全驗證。此通訊服務資源會使用此身分識別，以如 Azure 儲存體等安全的方式與其他 Azure 服務通訊，而不需管理任何認證。	Audit, Deny, Disabled	1.0.0
通訊服務資源應該使用允許列出資料位置	僅從允許列出資料位置建立通訊服務資源。此資料位置會決定通訊服務資源的資料靜態儲存位置，以確保您的慣用允許列出資料位置，因為資源建立之後無法變更此位置。	Audit, Deny, Disabled	1.0.0

計算

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
允許的虛擬機器大小 SKU	此原則可讓您指定一組您組織所能部署的虛擬機器大小 SKU。	拒絕	1.0.1
稽核未設定災害復原的虛擬機器	稽核未設定災害復原的虛擬機器。若要深入了解災害復原，請造訪 https://aka.ms/asr-doc。	auditIfNotExists	1.0.0
稽核不是使用受控磁碟的 VM	此原則會稽核未使用受控磁碟的 VM	稽核	1.0.0
啟用 Azure Site Recovery 的複寫功能，以在虛擬機器上設定災害復原	沒有災害復原設定的虛擬機器很容易因停電和其他服務中斷而受到影響。如果虛擬機器尚未設定災害復原，這項原則會啟用預設設定來啟用複寫功能，藉以協助商務持續運作。您可以選擇性地納入/排除包含指定標記的虛擬機器，以控制指派的範圍。若要深入了解災害復原，請造訪 https://aka.ms/asr-doc。	DeployIfNotExists, Disabled	2.1.0
設定磁碟存取資源，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對受控磁碟進行解析。深入了解：https://aka.ms/disksprivatelinksdoc。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定磁碟存取資源	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至磁碟存取資源，藉此降低資料洩漏風險。深入了解私人連結：https://aka.ms/disksprivatelinksdoc。	DeployIfNotExists, Disabled	1.0.0
設定受控磁碟以停用公用網路存取	停用受控磁碟資源的公用網路存取權，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/disksprivatelinksdoc。	修改、停用	2.0.0
為 Windows Server 部署預設的 Microsoft IaaSAntimalware 延伸模組	此原則會在 VM 未設定反惡意程式碼軟體延伸模組時，部署預設組態的 Microsoft IaaSAntimalware 延伸模組。	deployIfNotExists	1.1.0
磁碟存取資源應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到 diskAccesses，就能降低資料外洩的風險。深入了解私人連結：https://aka.ms/disksprivatelinksdoc。	AuditIfNotExists, Disabled	1.0.0
受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密	要求高安全性，且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶，可以選擇使用平台代控加密金鑰，在基礎結構層使用不同的加密演算法/模式，多一層加密的保障。需要有磁碟加密集，才能使用雙重加密。深入了解：https://aka.ms/disks-doubleEncryption。	Audit, Deny, Disabled	1.0.0
受控磁碟應停用公用網路存取	停用公用網路存取可確保受控磁碟不會在公用網際網路上公開，進而改善安全性。建立私人端點可能會限制受控磁碟的暴露程度。深入了解：https://aka.ms/disksprivatelinksdoc。	Audit, Disabled	2.0.0
受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集	需要一組特定的磁碟加密集搭配受控磁碟使用，讓您控制用於待用加密的金鑰。您可以選取允許的加密集，而所有其他設定會在連結至磁碟時遭到拒絕。深入了解：https://aka.ms/disks-cmk。	Audit, Deny, Disabled	2.0.0
Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章	此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。	AuditIfNotExists, Disabled	1.0.0
Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上	此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。	AuditIfNotExists, Disabled	1.1.0
僅應安裝已核准的 VM 擴充功能	此原則會控管未核准的虛擬機器延伸模組。	Audit, Deny, Disabled	1.0.0
OS 和資料磁碟應使用客戶自控金鑰進行加密	使用客戶自控金鑰來管理受控磁碟內容的待用加密。依預設，資料會使用平台代控金鑰進行待用加密，但若要遵循法規，通常需要有客戶自控金鑰。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/disks-cmk。	Audit, Deny, Disabled	3.0.0
匯出或上傳至磁碟或快照集時，使用驗證需求保護您的資料。	使用匯出/上傳 URL 時，系統會檢查使用者在 Azure Active Directory 中是否有身分識別，以及是否具有匯出/上傳資料的必要權限。請參閱 aka.ms/DisksAzureADAuth。	修改、停用	1.0.0
虛擬機器擴展集需要自動 OS 映像修補	此原則會強制啟用虛擬機器擴展集上的自動 OS 映像修補，以藉由每月安全地套用最新安全性修補程式，隨時保持虛擬機器安全無虞。	拒絕	1.0.0
虛擬機器和虛擬機器擴展集應啟用主機上的加密	使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。啟用主機上的加密時，暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。視磁碟上選取的加密類型而定，OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。深入了解：https://aka.ms/vm-hbe。	Audit, Deny, Disabled	1.0.0
虛擬機器應遷移到新的 Azure Resource Manager 資源	在您的虛擬機器使用新 Azure Resource Manager 以加強安全性，除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證，還支援標記和資源群組，讓安全性管理更加輕鬆。	Audit, Deny, Disabled	1.0.0

容器應用程式

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
容器應用程式應啟用驗證	容器應用程式驗證是一種功能，可以防止匿名 HTTP 要求到達容器應用程式，或者在有權杖的 HTTP 要求到達容器應用程式之前對其進行驗證	AuditIfNotExists, Disabled	1.0.1
容器應用程式環境應該使用網路插入	容器應用程式環境應使用虛擬網路插入以: 1.將容器應用程式與公用網際網路隔離 2.啟用與內部部署資源或其他 Azure 虛擬網路中資源的網路整合 3.針對來回流向環境的網路流量達成更精細的控制。	稽核、停用、拒絕	1.0.2
應使用磁碟區掛接設定容器應用程式	強制使用容器應用程式的磁碟區掛接，以確保永續性儲存體容量的可用性。	Audit, Deny, Disabled	1.0.1
容器應用程式環境應該停用公用網路存取	停用公用網路存取可透過內部負載平衡器公開容器應用程式環境，進而改善安全性。這可移除公用 IP 位址的需求，並防止透過網際網路存取環境內的所有容器應用程式。	Audit, Deny, Disabled	1.1.0
容器應用程式應停用外部網路存取	強制執行僅限內部輸入來停用容器應用程式的外部網路存取。這將確保容器應用程式的輸入通訊僅限於 Container Apps 環境中的呼叫者。	Audit, Deny, Disabled	1.0.1
應只可經由 HTTPS 存取容器應用程式	使用 HTTPS 可確保伺服器/服務驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。停用 'allowInsecure' 會導致將要求從 HTTP 自動重新導向至容器應用程式的 HTTPS 連線。	Audit, Deny, Disabled	1.0.1
應啟用容器應用程式的受控識別	強制使用受控識別可確保容器應用程式能夠安全地向支援Azure AD 驗證的任何資源進行驗證	Audit, Deny, Disabled	1.0.1

容器執行個體

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 容器執行個體容器群組應部署至虛擬網路	使用 Azure 虛擬網路保護容器之間的通訊。當您指定虛擬網路時，虛擬網路內的資源可以安全並私下地彼此通訊。	稽核、停用、拒絕	2.0.0
Azure 容器執行個體容器群組應使用客戶自控金鑰進行加密	使用客戶自控金鑰，以更具彈性的方式保護您的容器。當您指定客戶自控金鑰時，該金鑰會用來保護及控制加密資料所需金鑰的存取權。客戶自控金鑰提供額外的功能，可用於控制金鑰輪替，或以密碼編譯的方式清除資料。	稽核、停用、拒絕	1.0.0
將容器群組的診斷設定設定至 Log Analytics 工作區	在建立或更新任何遺漏此診斷設定的容器執行個體時，部署容器執行個體的診斷設定以將資源記錄串流至 Log Analytics 工作區。	DeployIfNotExists、AuditIfNotExists、Disabled	1.0.0

容器執行個體

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
將容器群組的診斷設定至 Log Analytics 工作區	在建立或更新遺漏這些欄位的任何容器群組時，附加指定 Log Analytics workspaceId 和 workspaceKey。在這些資源群組有所變更之前，不會修改在套用此原則之前所建立的容器群組欄位。	Append、Disabled	1.0.0

Container Registry

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
設定容器登錄來停用匿名驗證。	停用登錄的匿名提取，讓未經驗證的使用者無法存取資料。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證，進而改善安全性。深入了解：https://aka.ms/acr/authentication。	修改、停用	1.0.0
設定容器登錄以停用 ARM 對象權杖驗證。	停用以 Azure Active Directory ARM 對象權杖向登錄進行驗證的功能。只有 Azure Container Registry (ACR) 對象權杖才會用於驗證。這可確保只有預定要在登錄上使用的權杖，才可用於驗證。停用 ARM 對象權杖並不會影響管理使用者或限定範圍存取權杖的驗證。深入了解：https://aka.ms/acr/authentication。	修改、停用	1.0.0
設定容器登錄來停用本機系統管理員帳戶。	停用登錄的系統管理員帳戶，讓本機系統管理員無法存取。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證，進而改善安全性。深入了解：https://aka.ms/acr/authentication。	修改、停用	1.0.1
設定容器登錄以停用公用網路存取	停用 Azure Container Registry 資源的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。若要深入了解，請參閱 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link。	修改、停用	1.0.0
設定容器登錄以停用存放庫範圍存取權杖。	停用登錄的存放庫範圍存取權杖，讓權杖無法存取存放庫。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證，進而改善安全性。深入了解：https://aka.ms/acr/authentication。	修改、停用	1.0.0
設定容器登錄以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，針對您的 Azure Container Registry 進行解析。深入了解：https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link。	DeployIfNotExists, Disabled	1.0.1
使用私人端點設定容器登錄	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可將私人端點對應至進階容器登錄資源，以便降低資料外洩風險。深入了解：https://aka.ms/privateendpoints 和 https://aka.ms/acr/private-link。	DeployIfNotExists, Disabled	1.0.0
容器登錄應使用客戶自控金鑰加密	使用客戶自控金鑰來管理登錄內容的待用加密。根據預設，資料會使用服務管理的金鑰進行待用加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/acr/CMK。	Audit, Deny, Disabled	1.1.2
容器登錄應停用匿名驗證。	停用登錄的匿名提取，讓未經驗證的使用者無法存取資料。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證，進而改善安全性。深入了解：https://aka.ms/acr/authentication。	Audit, Deny, Disabled	1.0.0
容器登錄應停用 ARM 對象權杖驗證。	停用以 Azure Active Directory ARM 對象權杖向登錄進行驗證的功能。只有 Azure Container Registry (ACR) 對象權杖才會用於驗證。這可確保只有預定要在登錄上使用的權杖，才可用於驗證。停用 ARM 對象權杖並不會影響管理使用者或限定範圍存取權杖的驗證。深入了解：https://aka.ms/acr/authentication。	Audit, Deny, Disabled	1.0.0
容器登錄應停用匯出	停用匯出可確保登錄中的資料只能透過資料平面存取 ('docker pull')。進而改善安全性。資料無法透過 'acr import' 或 'acr transfer' 從登錄移出。若要停用匯出，必須停用公用網路存取。深入了解：https://aka.ms/acr/export-policy。	Audit, Deny, Disabled	1.0.0
容器登錄應停用本機系統管理員帳戶。	停用登錄的系統管理員帳戶，讓本機系統管理員無法存取。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證，進而改善安全性。深入了解：https://aka.ms/acr/authentication。	Audit, Deny, Disabled	1.0.1
容器登錄應已停用存放庫範圍存取權杖。	停用登錄的存放庫範圍存取權杖，讓權杖無法存取存放庫。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證，進而改善安全性。深入了解：https://aka.ms/acr/authentication。	Audit, Deny, Disabled	1.0.0
容器登錄應具有支援私人連結的 SKU	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到您的容器登錄，而不是整個服務，資料外洩風險就會降低。深入了解：https://aka.ms/acr/private-link。	Audit, Deny, Disabled	1.0.0
不應允許不受限制的網路存取	根據預設，Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。為了保護登錄不受潛在威脅的影響，請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。如果登錄沒有已設定的網路規則，則會出現在狀況不良的資源中。在這裡深入了解 Azure Container Registry 網路規則：https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。	Audit, Deny, Disabled	2.0.0
容器登錄應該防止快取規則建立	停用 Azure Container Registry 的快取規則建立，以防止透過快取提取進行提取。深入了解：https://aka.ms/acr/cache。	Audit, Deny, Disabled	1.0.0
容器登錄應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務，您也會受到保護，而免於遭受資料洩漏風險。深入了解：https://aka.ms/acr/private-link。	Audit, Disabled	1.0.1
容器登錄應停用公用網路存取	停用公用網路存取可確保容器登錄不會在公用網際網路上公開，進而改善安全性。建立私人端點可能會限制容器登錄資源的曝光狀況。深入了解：https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link。	Audit, Deny, Disabled	1.0.0

Cosmos DB

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Cosmos DB 帳戶應具有防火牆規則	應在您的 Azure Cosmos DB 帳戶上定義防火牆規則，以防止來自未經授權來源的流量。若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則，系統會將其視為符合規範。停用公用存取的帳戶也會視為符合規範。	Audit, Deny, Disabled	2.1.0
Azure Cosmos DB 帳戶不應允許來自所有 Azure 資料中心的流量	不允許 IP 防火牆規則 '0.0.0.0'，這樣會允許來自任何 Azure 資料中心的所有流量。深入了解：https://aka.ms/cosmosdb-firewall	Audit, Deny, Disabled	1.0.0
Azure Cosmos DB 帳戶不應超過自上次帳戶金鑰重新產生後允許的天數上限。	在指定的時間重新產生金鑰，讓資料更加受到保護。	Audit, Disabled	1.0.0
Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料	使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。根據預設，資料會使用服務管理的金鑰進行待用加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/cosmosdb-cmk。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0
Azure Cosmos DB 允許的位置	此原則可讓您限制貴組織在部署 Azure Cosmos DB 資源時可指定的位置。它可用來強制執行地理合規性需求。	[parameters('policyEffect')]	1.1.0
應停用 Azure Cosmos DB 以金鑰為基礎的中繼資料寫入權限	此原則可讓您確認所有 Azure Cosmos DB 帳戶都停用以金鑰為基礎的中繼資料寫入權限。	附加	1.0.0
Azure Cosmos DB 應停用公用網路存取	停用公用網路存取可確保 CosmosDB 帳戶不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制您 CosmosDB 帳戶的曝光。深入了解：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。	Audit, Deny, Disabled	1.0.0
應限制 Azure Cosmos DB 輸送量	此原則可讓您在透過資源提供者建立 Azure Cosmos DB 資料庫和容器時，限制組織可指定的最大輸送量。這會封鎖自動調整資源的建立。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0
設定 Cosmos DB 資料庫帳戶以停用本機驗證	停用本機驗證方法，讓您的 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證。深入了解：https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。	修改、停用	1.1.0
設定 CosmosDB 帳戶以停用公用網路存取	停用 CosmosDB 資源的公用網路存取權，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。	修改、停用	1.0.1
設定 CosmosDB 帳戶以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 CosmosDB 帳戶進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	2.0.0
使用私人端點設定 CosmosDB 帳戶	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。只要將私人端點對應至您的 CosmosDB 帳戶，就能降低資料外洩風險。深入了解私人連結：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	DeployIfNotExists, Disabled	1.0.0
Cosmos DB 資料庫帳戶應已停用本機驗證方法	停用本機驗證方法可確保 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證，進而提升安全性。深入了解：https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。	Audit, Deny, Disabled	1.1.0
CosmosDB 帳戶應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至您的 CosmosDB 帳戶，資料外洩風險就會降低。深入了解私人連結：https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。	Audit, Disabled	1.0.0
為 Cosmos DB 帳戶部署進階威脅防護	此原則會在多個 Cosmos DB 帳戶啟用進階威脅防護。	DeployIfNotExists, Disabled	1.0.0

自訂提供者

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
部署自訂提供者的關聯	部署關聯資源，將所選資源類型與指定的自訂提供者相關聯。此原則部署不支援巢狀資源類型。	deployIfNotExists	1.0.0

資料箱

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密	針對裝置上的待用資料啟用軟體型的第二層加密。裝置已透過進階加密標準的 256 位加密來保護待用資料。此選項會新增第二層資料加密。	Audit, Deny, Disabled	1.0.0
Azure 資料箱作業應使用客戶自控金鑰加密裝置解除鎖定密碼	使用客戶自控金鑰控制 Azure 資料箱的裝置解除鎖定密碼加密。客戶自控金鑰也有助於管理資料箱服務對裝置解除鎖定密碼的存取權，以便準備裝置並自動複製資料。裝置本身上的資料已使用進階加密標準 256 位加密進行待用加密，而裝置解除鎖定密碼預設會使用 Microsoft 受控金鑰加密。	Audit, Deny, Disabled	1.0.0

Data Factory

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure Data Factory 管線應該只與允許的網域通訊	若要防止資料與權杖外流，請設定允許 Azure Data Factory 進行通訊的網域。注意：在公開預覽期間，不會報告此原則的合規性，以及要套用至 Data Factory 的原則，請在 ADF 工作室中啟用輸出規則功能。如需詳細資訊，請瀏覽 https://aka.ms/data-exfiltration-policy。	稽核, 拒絕, 停用	1.0.0-preview
Azure 資料處理站應使用客戶自控金鑰進行加密	使用客戶自控金鑰來管理 Azure Data Factory 的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/adf-cmk。	Audit, Deny, Disabled	1.0.1
Azure Data Factory 整合執行階段應具有核心數目的限制	若要管理您的資源和成本，請限制整合執行階段的核心數目。	Audit, Deny, Disabled	1.0.0
Azure Data Factory 連結服務資源類型應在允許清單中	定義 Azure Data Factory 連結服務類型的允許清單。限制允許的資源類型可讓您控制資料移動的界限。例如，將範圍限制為只允許具有 Data Lake Storage Gen1 和 Gen2 的 Blob 儲存體進行分析，或將範圍限制為只允許即時查詢進行 SQL 和 Kusto 存取。	Audit, Deny, Disabled	1.1.0
Azure Data Factory 連結服務應該使用 Key Vault 儲存祕密	為確保祕密 (例如連接字串) 受到安全地管理，需要使用者使用 Azure Key Vault 來提供祕密，而非將其指定內嵌於連結服務中。	Audit, Deny, Disabled	1.0.0
支援系統指派的受控識別驗證時，Azure Data Factory 連結服務應加以使用	透過連結服務與資料存放區通訊時，使用系統指派的受控識別，可避免使用較不安全的認證，例如密碼或連接字串。	Audit, Deny, Disabled	2.1.0
Azure Data Factory 應使用 Git 存放庫進行原始檔控制	僅使用 Git 整合設定您的開發資料處理站。測試與生產的變更應該透過 CI/CD 部署，而且「不」需要具備 Git 整合。「請勿」在您的 QA/測試/生產資料處理站上套用此原則。	Audit, Deny, Disabled	1.0.1
Azure Data Factory 應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到 Azure Data Factory，就能降低資料外洩的風險。深入了解私人連結：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	AuditIfNotExists, Disabled	1.0.0
設定 Data Factory 以停用公用網路存取	停用 Data Factory 的公用網路存取，使其無法透過公用網際網路存取。這可降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	修改、停用	1.0.0
為連線到 Azure Data Factory 的私人端點設定私人 DNS 區域	私人 DNS 記錄允許針對私人端點的私人連線。私人端點連線允許安全通訊，方法是啟用您 Azure Data Factory 的私人連線，而無需來源或目的地上的公用 IP 位址。如需 Azure Data Factory 中私人端點和 DNS 區域的詳細資訊，請參閱 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	DeployIfNotExists, Disabled	1.0.0
設定 Data Factory 的私人端點	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至您的 Azure Data Factory 服務，就可以降低資料外洩風險。深入了解：https://docs.microsoft.com/azure/data-factory/data-factory-private-link。	DeployIfNotExists, Disabled	1.1.0
應停用 Azure Data Factory 上的公用網路存取	停用公用網路存取屬性可提高安全性，方法是確定只能從私人端點存取 Azure Data Factory。	Audit, Deny, Disabled	1.0.0
Azure Data Factory 上的 SQL Server Integration Services 整合執行階段應聯結到虛擬網路	Azure 虛擬網路部署可為 Azure Data Factory 上的 SQL Server Integration Services 整合執行階段提供強化的安全性及隔離，以及子網路、存取控制原則和其他功能，以進一步限制存取。	Audit, Deny, Disabled	2.3.0

Data Lake

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Data Lake Store 帳戶需要加密	此原則可確保所有 Data Lake Store 帳戶上均已啟用加密	拒絕	1.0.0
應啟用 Azure Data Lake Store 中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0
應啟用 Data Lake Analytics 中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0

桌面虛擬化

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 虛擬桌面主機集區應停用公用網路存取	停用公用網路存取可藉由確保 Azure 虛擬桌面服務的存取不會公開至公用網際網路，改善安全性及保護您的資料安全。深入了解：https://aka.ms/avdprivatelink。	Audit, Deny, Disabled	1.0.0
Azure 虛擬桌面主機集區應僅在工作階段主機上停用公用網路存取	停用 Azure 虛擬桌面主機集區工作階段主機的公用網路存取，但允許終端使用者的公用存取，可藉由限制公開至公用網際網路來改善安全性。深入了解：https://aka.ms/avdprivatelink。	Audit, Deny, Disabled	1.0.0
Azure 虛擬桌面服務應該使用私人連結	搭配 Azure 虛擬桌面資源使用 Azure Private Link 可以改善安全性，並保護您的資料安全。深入了解私人連結：https://aka.ms/avdprivatelink。	Audit, Disabled	1.0.0
Azure 虛擬桌面工作區應停用公用網路存取	停用 Azure 虛擬桌面工作區資源的公用網路存取，可防止透過公用網際網路存取摘要。只允許私人網路存取可改善安全性，並保護您的資料安全。深入了解：https://aka.ms/avdprivatelink。	Audit, Deny, Disabled	1.0.0
設定 Azure 虛擬桌面主機集區資源，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure 虛擬桌面資源進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0
設定 Azure 虛擬桌面主機集區以停用公用網路存取	停用 Azure 虛擬桌面主機集區資源上工作階段主機和終端使用者的公用網路存取，使其無法透過公用網際網路存取。這可改善安全性，並保護您的資料安全。深入了解：https://aka.ms/avdprivatelink。	修改、停用	1.0.0
設定 Azure 虛擬桌面主機集區僅針對工作階段主機停用公用網路存取	停用 Azure 虛擬桌面主機集區工作階段主機的公用網路存取，但允許終端使用者的公用存取。這讓使用者仍可存取 AVD 服務，同時確保工作階段主機只能透過私人路由存取。深入了解：https://aka.ms/avdprivatelink。	修改、停用	1.0.0
使用私人端點設定 Azure 虛擬桌面主機集區	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至您的 Azure 虛擬桌面資源，您可以改善安全性並保護資料安全。深入了解：https://aka.ms/avdprivatelink。	DeployIfNotExists, Disabled	1.0.0
設定 Azure 虛擬桌面工作區資源，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure 虛擬桌面資源進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0
設定 Azure 虛擬桌面工作區以停用公用網路存取	停用 Azure 虛擬桌面工作區資源的公用網路存取，就無法透過公用網際網路存取摘要。這可改善安全性，並保護您的資料安全。深入了解：https://aka.ms/avdprivatelink。	修改、停用	1.0.0
使用私人端點設定 Azure 虛擬桌面工作區	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至您的 Azure 虛擬桌面資源，您可以改善安全性並保護資料安全。深入了解：https://aka.ms/avdprivatelink。	DeployIfNotExists, Disabled	1.0.0

DevCenter

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Microsoft 開發箱集區不應該使用 Microsoft 託管網路。	不允許在建立集區資源時使用 Microsoft 託管網路。	Audit, Deny, Disabled	1.0.0-preview

DevOpsInfrastructure

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：應該為 Microsoft 受控 DevOps 集區提供有效的子網路資源，才能使用自己的虛擬網路進行設定。	如果未提供有效的子網路資源，則不允許建立集區資源。	Audit, Deny, Disabled	1.0.0-preview

ElasticSan

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
ElasticSan 應該停用公用網路存取	停用 ElasticSan 的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。	Audit, Deny, Disabled	1.0.0
ElasticSan 磁碟區群組應該使用客戶自控金鑰來加密待用資料	使用客戶自控金鑰來管理 VolumeGroup 的待用加密。根據預設，客戶資料會使用平台管理的金鑰進行加密，但通常需要有 CMK 才能符合法規合規性標準。客戶自控金鑰可讓您使用自己建立並擁有的 Azure Key Vault 金鑰來加密資料，您將全權掌控並擔負全責，包括輪替和管理。	Audit, Disabled	1.0.0
ElasticSan 磁碟區群組應使用私人端點	私人端點可讓系統管理員將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至磁碟區群組，系統管理員即可降低資料外洩風險	Audit, Disabled	1.0.0

事件方格

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Event Grid 網域應停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/privateendpoints。	Audit, Deny, Disabled	1.0.0
Azure Event Grid 網域應停用本機驗證方法	停用本機驗證方法可確保 Azure Event Grid 網域僅可透過 Azure Active Directory 識別身分來進行驗證，進而提升安全性。深入了解：https://aka.ms/aeg-disablelocalauth。	Audit, Deny, Disabled	1.0.0
Azure 事件方格網域應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至 Event Grid 網域而非整個服務，您也會受到保護，而免於遭受資料外洩風險。深入了解：https://aka.ms/privateendpoints。	Audit, Disabled	1.0.2
Azure 事件方格命名空間 MQTT 代理應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。若將私人端點對應至事件方格命名空間而非整個服務，您也會受到保護，以免遭到資料外洩風險。深入了解：https://aka.ms/aeg-ns-privateendpoints。	Audit, Disabled	1.0.0
Azure 事件方格命名空間主題訊息代理程式應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。若將私人端點對應至事件方格命名空間而非整個服務，您也會受到保護，以免遭到資料外洩風險。深入了解：https://aka.ms/aeg-ns-privateendpoints。	Audit, Disabled	1.0.0
Azure 事件方格命名空間應停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/aeg-ns-privateendpoints。	Audit, Deny, Disabled	1.0.0
Azure Event Grid 合作夥伴命名空間應停用本機驗證方法	停用本機驗證方法可確保 Azure Event Grid 合作夥伴命名空間僅可透過 Azure Active Directory 識別身分來進行驗證，進而提升安全性。深入了解：https://aka.ms/aeg-disablelocalauth。	Audit, Deny, Disabled	1.0.0
Azure Event Grid 主題應停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/privateendpoints。	Audit, Deny, Disabled	1.0.0
Azure Event Grid 主題應停用本機驗證方法	停用本機驗證方法可確保 Azure Event Grid 主題僅可透過 Azure Active Directory 識別身分來進行驗證，進而提升安全性。深入了解：https://aka.ms/aeg-disablelocalauth。	Audit, Deny, Disabled	1.0.0
Azure 事件方格主題應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至 Event Grid 主題而非整個服務，您也會受到保護，而免於遭受資料外洩風險。深入了解：https://aka.ms/privateendpoints。	Audit, Disabled	1.0.2
設定 Azure Event Grid 網域以停用本機驗證	停用本機驗證方法，讓您的 Azure Event Grid 網域僅可透過 Azure Active Directory 識別身分來進行驗證。深入了解：https://aka.ms/aeg-disablelocalauth。	修改、停用	1.0.0
使用私人端點設定 Azure 事件方格命名空間 MQTT 代理	私人端點可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至您的資源，即可防範資料外洩風險。深入了解：https://aka.ms/aeg-ns-privateendpoints。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure 事件方格命名空間	私人端點可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至您的資源，即可防範資料外洩風險。深入了解：https://aka.ms/aeg-ns-privateendpoints。	DeployIfNotExists, Disabled	1.0.0
設定 Azure Event Grid 合作夥伴命名空間以停用本機驗證	停用本機驗證方法，讓您的 Azure Event Grid 合作夥伴命名空間僅可透過 Azure Active Directory 識別身分來進行驗證。深入了解：https://aka.ms/aeg-disablelocalauth。	修改、停用	1.0.0
設定 Azure Event Grid 主題以停用本機驗證	停用本機驗證方法，讓您的 Azure Event Grid 主題僅可透過 Azure Active Directory 識別身分來進行驗證。深入了解：https://aka.ms/aeg-disablelocalauth。	修改、停用	1.0.0
部署 - 設定 Azure 事件方格網域以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。深入了解：https://aka.ms/privatednszone。	deployIfNotExists、DeployIfNotExists、Disabled	1.1.0
部署：使用私人端點設定 Azure Event Grid 網域	私人端點可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至您的資源，即可防範資料外洩風險。深入了解：https://aka.ms/privateendpoints。	DeployIfNotExists, Disabled	1.0.0
部署 - 設定 Azure 事件方格主題以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。深入了解：https://aka.ms/privatednszone。	deployIfNotExists、DeployIfNotExists、Disabled	1.1.0
部署：使用私人端點設定 Azure Event Grid 主題	私人端點可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至您的資源，即可防範資料外洩風險。深入了解：https://aka.ms/privateendpoints。	DeployIfNotExists, Disabled	1.0.0
修改：設定 Azure Event Grid 網域以停用公用網路存取	停用 Azure Event Grid 資源的公用網路存取，便無法透過公用網際網路存取該資源。這有助於防範資源的資料外洩風險。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/privateendpoints。	修改、停用	1.0.0
修改：設定 Azure Event Grid 主題以停用公用網路存取	停用 Azure Event Grid 資源的公用網路存取，便無法透過公用網際網路存取該資源。這有助於防範資源的資料外洩風險。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://aka.ms/privateendpoints。	修改、停用	1.0.0

事件中樞

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
除了 RootManageSharedAccessKey 外，應從事件中樞命名空間移除所有授權規則	事件中樞用戶端不應該使用提供命名空間中所有佇列及主題存取權的命名空間層級存取原則。若要與最低權限資訊安全模型達成一致，您應在佇列和主題的實體層級建立存取原則，以提供僅限特定實體的存取權	Audit, Deny, Disabled	1.0.1
應定義事件中樞執行個體上的授權規則	稽核事件中樞實體的授權規則是否存在，以授與最低權限的存取	AuditIfNotExists, Disabled	1.0.0
Azure 事件中樞命名空間應該已停用本機驗證方法	停用本機驗證方法可確保 Azure 事件中樞命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證，進而提升安全性。深入了解：https://aka.ms/disablelocalauth-eh。	Audit, Deny, Disabled	1.0.1
設定 Azure 事件中樞命名空間以停用本機驗證	停用本機驗證方法，讓您的 Azure 事件中樞命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證。深入了解：https://aka.ms/disablelocalauth-eh。	修改、停用	1.0.1
設定事件中樞命名空間以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對事件中樞命名空間進行解析。深入了解：https://docs.microsoft.com/azure/event-hubs/private-link-service。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定事件中樞命名空間	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至事件中樞命名空間，藉此降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/event-hubs/private-link-service。	DeployIfNotExists, Disabled	1.0.0
事件中樞命名空間應停用公用網路存取	Azure 事件中樞應該停用公用網路存取。停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://docs.microsoft.com/azure/event-hubs/private-link-service	Audit, Deny, Disabled	1.0.0
事件中樞命名空間應該啟用雙重加密	啟用雙重加密可協助保護資料安全，以符合貴組織安全性和合規性承諾。啟用雙重加密時，儲存體帳戶中的資料會加密兩次；一次在服務層級，一次在基礎結構層級，且會使用兩個不同的加密演算法和兩個不同的金鑰。	Audit, Deny, Disabled	1.0.0
事件中樞命名空間應使用客戶自控金鑰進行加密	Azure 事件中樞支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。選擇使用客戶自控金鑰來加密資料，可讓您指派、輪替、停用及撤銷事件中樞將用來加密命名空間中資料的金鑰存取權。請注意，事件中樞僅支援使用客戶自控金鑰來加密專用叢集中的命名空間。	Audit, Disabled	1.0.0
事件中樞命名空間應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。將私人端點對應至事件中樞命名空間，可降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/event-hubs/private-link-service。	AuditIfNotExists, Disabled	1.0.0
應啟用事件中樞內的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0

流體轉送

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
流體轉送應使用客戶自控金鑰來加密待用資料	使用客戶自控金鑰來管理流體轉送伺服器的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有 CMK 才能符合法規合規性標準。客戶自控金鑰可讓您使用自己建立並擁有的 Azure Key Vault 金鑰來加密資料，您將全權掌控並擔負全責，包括輪替和管理。請至https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys，即可深入瞭解。	Audit, Disabled	1.0.0

一般

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
允許的位置	此原則可讓您限制您的組織在部署資源時可指定的位置。它可用來強制執行地理合規性需求。排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories，以及使用「全球」區域的資源。	拒絕	1.0.0
允許資源群組的位置	此原則可讓您限制貴組織可在其中建立資源群組的位置。它可用來強制執行地理合規性需求。	拒絕	1.0.0
允許的資源類型	此原則可讓您指定組織所能部署的資源類型。只有支援「標籤」和「位置」的資源類型會受此原則影響。若要限制所有資源，請複製此原則，並將 [模式] 變更為 [全部]。	拒絕	1.0.0
稽核資源位置是否符合資源群組位置	稽核資源位置是否符合其資源群組位置	稽核	2.0.0
稽核自訂 RBAC 角色的使用方式	稽核內建角色，例如「擁有者、參與者、讀取者」，而不是自訂的 RBAC 角色，這些角色容易發生錯誤。使用自訂角色會視為例外狀況，而且需要嚴格審查和威脅模型化	Audit, Disabled	1.0.1
設定訂用帳戶以設定預覽功能	此原則會評估現有訂用帳戶的預覽功能。您可以補救訂用帳戶以註冊至新的預覽功能。新的訂用帳戶不會自動註冊。	AuditIfNotExists、DeployIfNotExists、Disabled	1.0.1
不允許刪除資源類型	此原則可讓您指定組織可以使用拒絕動作效果封鎖刪除呼叫，以防止意外刪除的資源類型。	DenyAction、Disabled	1.0.1
不允許 M365 資源	封鎖 M365 資源的建立。	Audit, Deny, Disabled	1.0.0
不允許 MCPP 資源	封鎖 MCPP 資源的建立。	Audit, Deny, Disabled	1.0.0
排除使用量成本資源	此原則可讓您排除使用量成本資源。使用量成本包括計量付費儲存體和 Azure 資源等項目，這些項目會根據使用量計費。	Audit, Deny, Disabled	1.0.0
不允許的資源類型	限制可以在環境中部署哪些資源類型。限制資源類型可減少環境的複雜度和受攻擊面，同時也有助於管理成本。只有不符合規範的資源會顯示合規性結果。	Audit, Deny, Disabled	2.0.0

來賓設定

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：在虛擬機器上新增使用者指派的受控身分識別，以啟用客體組態指派	此原則會將使用者指派的受控身分識別新增至 Azure 中所裝載且受來賓設定所支援的虛擬機器。使用者指派的受控身分識別是所有來賓設定指派的先決條件，必須先新增至電腦，才能使用任何來賓設定原則定義。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	AuditIfNotExists、DeployIfNotExists、Disabled	2.1.0-preview
[預覽]：設定 Windows Server 以停用本機使用者。	建立客體設定指派，以設定在 Windows Server 上停用本機使用者。這可確保 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取，以改善整體安全性態勢。	DeployIfNotExists, Disabled	1.2.0-preview
[預覽]：延伸安全性更新應該安裝在 Windows Server 2012 Arc 電腦上。	Windows Server 2012 Arc 電腦應該已安裝 Microsoft 發行的所有延伸安全性更新。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資訊，請造訪 https://aka.ms/gcpol	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：Linux 機器應符合 Docker 主機的 Azure 安全性基準需求	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。此機器未針對 Azure 安全性基準中關於 Docker 主機的其中一個建議正確設定。	AuditIfNotExists, Disabled	1.2.0-preview
[預覽]：Linux 電腦應符合 Azure 計算的 STIG 合規性需求	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果未針對 Azure 計算 STIG 合規性需求中的其中一項建議正確設定機器，則機器不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。如需詳細資料，https://public.cyber.mil/stigs/。	AuditIfNotExists, Disabled	1.2.0-preview
[預覽]：已安裝 OMI 的 Linux 電腦應有 1.6.8-1 版或更新版本	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。由於 Linux OMI 套件 1.6.8-1 版中包含的安全性修正程式，所有機器都應該更新為最新版本。升級使用 OMI 來解決此問題的應用程式/套件。如需詳細資訊，請參閱https://aka.ms/omiguidance。	AuditIfNotExists, Disabled	1.2.0-preview
[預覽]：Nexus 計算機器應符合安全性基準	利用 Azure 原則客體組態代理程式進行稽核。此原則可確保機器遵守 Nexus 計算安全性基準，其中包含各種建議，旨在針對各種弱點和不安全的組態強化機器 (僅限 Linux)。	AuditIfNotExists, Disabled	1.1.0-preview
[預覽]：Windows 電腦應符合 Azure 計算的 STIG 合規性需求	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果電腦未針對 Azure 計算的 STIG 合規性需求的其中一項建議正確設定，則電腦不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。如需詳細資料，https://public.cyber.mil/stigs/。	AuditIfNotExists, Disabled	1.0.0-preview
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別，以啟用客體設定指派	此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援)，但是沒有任何受控識別。系統指派的受控識別是所有客體設定指派的必要條件，必須先新增到電腦，才能使用任何客體設定原則定義。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	修改	4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別，以啟用客體設定指派	此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援)，而且至少有一個使用者指派的身分識別，但是沒有系統指派的受控識別。系統指派的受控識別是所有客體設定指派的必要條件，必須先新增到電腦，才能使用任何客體設定原則定義。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	修改	4.1.0
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果允許不使用密碼從帳戶遠端連線的 Linux 電腦，則電腦不相容	AuditIfNotExists, Disabled	3.1.0
稽核密碼檔權限未設為 0644 的 Linux 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果密碼檔案權限未設為 0644 的 Linux 電腦，則電腦不相容	AuditIfNotExists, Disabled	3.1.0
稽核未安裝指定應用程式的 Linux 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Chef InSpec 資源指出未安裝參數所提供的一或多個套件，則電腦不相容。	AuditIfNotExists, Disabled	4.2.0
稽核有不需要密碼之帳戶的 Linux 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Linux 電腦有不需要密碼的帳戶，則電腦不相容	AuditIfNotExists, Disabled	3.1.0
稽核已安裝指定應用程式的 Linux 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Chef InSpec 資源指出已安裝參數所提供的一或多個套件，則電腦不相容。	AuditIfNotExists, Disabled	4.2.0
稽核 Linux 的 SSH 安全性狀態（由 OSConfig 提供電源）	此原則會稽核 Linux 機器上的 SSH 伺服器安全性設定（Azure VM 和已啟用 Arc 的電腦）。如需詳細資訊，包括必要條件、範圍中的設定、預設值和自定義，請參閱 https://aka.ms/SshPostureControlOverview	AuditIfNotExists, Disabled	1.0.1
稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果本機系統管理員群組未包含原則參數中列出的一或多個成員，則電腦不相容。	auditIfNotExists	2.0.0
稽核 Windows 電腦網路連線	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 IP 與 TCP 通訊埠的網路連線狀態與原則參數不相符，則電腦不相容。	auditIfNotExists	2.0.0
稽核 DSC 設定不合規的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 傳回電腦的 DSC 設定不符合規範，則電腦不相容。	auditIfNotExists	3.0.0
稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。若未安裝代理程式，或已安裝但 COM 物件 AgentConfigManager.MgmtSvcCfg 傳回其所註冊的工作區，並非原則參數中所指定的識別碼，則電腦不相容。	auditIfNotExists	2.0.0
稽核未安裝及「執行」指定服務的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows PowerShell 命令 Get-Service 的結果未包含具有原則參數所指定相符狀態的服務名稱，則電腦不相容。	auditIfNotExists	3.0.0
稽核未啟用 Windows 序列主控台的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。若電腦未安裝序列主控台軟體，或是未使用與原則參數相同的值來設定 EMS 連接埠號碼或傳輸速率，則電腦不相容。	auditIfNotExists	3.0.0
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼，則機器不符合規範。唯一密碼的預設值為 24	AuditIfNotExists, Disabled	2.1.0
稽核未加入指定網域的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 WMI 類別中的網域屬性值 win32_computersystem 與原則參數中的值不相符，則電腦不相容。	auditIfNotExists	2.0.0
稽核未設定為指定時區的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 WMI 類別 Win32_TimeZone 中 StandardName 的屬性值不符合原則參數所選的時區，則電腦不相容。	auditIfNotExists	3.0.0
稽核其憑證即將在指定天數內到期的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果指定存放區中的憑證到期日超出指定天數的範圍，則電腦不相容。此原則也提供僅檢查特定憑證或排除特定憑證，以及是否要報告已過期憑證的選項。	auditIfNotExists	2.0.0
稽核其受信任的根中未包含指定憑證的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果電腦受信任的根憑證存放區 (Cert:\LocalMachine\Root) 未包含原則參數所列出的一或多個憑證，則電腦不相容。	auditIfNotExists	3.0.0
稽核未將密碼最長有效期設定為指定天數的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 機器未將密碼最長有效期設定為指定天數，則機器不符合規範。密碼最長有效期的預設值為 70 天	AuditIfNotExists, Disabled	2.1.0
稽核未將密碼最短有效期設定為指定天數的 Windows 機器	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 機器未將密碼最短有效期設定為指定天數，則機器不符合規範。密碼最短有效期的預設值為 1 天	AuditIfNotExists, Disabled	2.1.0
稽核未啟用密碼複雜度設定的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 電腦未啟用密碼複雜度設定，則電腦不相容	AuditIfNotExists, Disabled	2.0.0
稽核沒有指定 Windows PowerShell 執行原則的 Windows 機器	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows PowerShell 命令 Get-ExecutionPolicy 傳回的值不是原則參數中所選取的值，則機器不符合規範。	AuditIfNotExists, Disabled	3.0.0
稽核未安裝指定 Windows PowerShell 模組的 Windows 機器	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果環境變數 PSModulePath 所指定的位置中無法使用模組，則機器不符合規範。	AuditIfNotExists, Disabled	3.0.0
稽核未將密碼長度下限限制為指定字元數的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 機器未將密碼長度下限限制為指定的字元數，機器就不符合規範。密碼長度下限的預設值為 14 個字元	AuditIfNotExists, Disabled	2.1.0
稽核未使用可逆加密來儲存密碼的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 電腦未使用可逆加密來儲存密碼，則電腦不相容	AuditIfNotExists, Disabled	2.0.0
稽核未安裝指定應用程式的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。若在下列任一登錄路徑中找不到該應用程式名稱，該電腦即不合規：HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。	auditIfNotExists	2.0.0
在 Administrators 群組中審查具有額外帳戶的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果本機系統管理員群組包含的成員未在原則參數中列出，則電腦不相容。	auditIfNotExists	2.0.0
稽核未在指定天數內重新啟動的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果類別 Win32_Operatingsystem 中的 WMI 屬性 LastBootUpTime 超出原則參數所提供的天數範圍，則電腦不相容。	auditIfNotExists	2.0.0
稽核已安裝指定應用程式的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。若在下列任一登錄路徑中找不到該應用程式名稱，該電腦即不合規：HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。	auditIfNotExists	2.0.0
稽核具有 Administrators 群組中指定成員的 Windows 電腦	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果本機系統管理員群組未包含原則參數中列出的一或多個成員，則電腦不相容。	auditIfNotExists	2.0.0
稽核正在等候重新開機的 Windows VM	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果電腦因下列任何原因而擱置重新開機，則電腦不相容：以元件為基礎的服務、Windows Update、擱置的檔案重新命名、擱置的電腦重新命名、擱置的設定管理員重新開機。每個偵測都有唯一的登錄路徑。	auditIfNotExists	2.0.0
對 Linux 電腦進行驗證需要 SSH 金鑰	雖然 SSH 本身提供加密連線，但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組，也稱為 SSH 金鑰。深入了解：https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。	AuditIfNotExists, Disabled	3.2.0
設定 Linux Server 以停用本機使用者。	建立客體組態指派，以設定在 Linux Server 上停用本機使用者。這可確保 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取，以改善整體安全性態勢。	DeployIfNotExists, Disabled	1.3.0-preview
在 Windows 電腦上設定安全通訊協定 (TLS 1.1 或 TLS 1.2)	建立來賓設定指派，以在 Windows 電腦上設定指定的安全通訊協定版本 (TLS 1.1 或 TLS 1.2)。	DeployIfNotExists, Disabled	1.0.1
設定 Linux 的 SSH 安全性狀態（由 OSConfig 提供電源）	此原則會在Linux機器上稽核及設定SSH伺服器安全性設定（Azure VM和已啟用Arc的機器）。如需詳細資訊，包括必要條件、範圍中的設定、預設值和自定義，請參閱 https://aka.ms/SshPostureControlOverview	DeployIfNotExists, Disabled	1.0.1
在 Windows 機器上設定時區。	此原則會建立客體設定指派，以在 Windows 虛擬機器上設定指定的時區。	deployIfNotExists	2.1.0
部署 Linux 來賓設定延伸模組，以在 Linux 虛擬機器上啟用來賓設定指派	此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件，要使用任何 Linux 客體設定原則定義前，都必須先將此延伸模組部署到電腦上。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	deployIfNotExists	3.1.0
在 Windows VM 上部署 Windows 客體設定擴充功能，以啟用客體設定指派	此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件，要使用任何 Windows 客體設定原則定義前，都必須先將此延伸模組部署到電腦上。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	deployIfNotExists	1.2.0
Linux 機器應符合 Azure 計算安全性基準的需求	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定，則電腦不符合規範。	AuditIfNotExists, Disabled	2.2.0
Linux 電腦應該只有允許的本機帳戶	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。如果有本機使用者帳戶已啟用但是未列在原則參數中，則機器不符合規範。	AuditIfNotExists, Disabled	2.2.0
Linux 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。	雖然虛擬機器的 OS 和資料磁碟預設會使用平台受控金鑰進行待用加密；但是資源磁碟 (暫存磁碟)、資料快取以及計算與儲存體資源之間的資料流動不會加密。使用 Azure 磁碟加密或 EncryptionAtHost 來補救。請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應項目。此原則需要兩個必要條件才能部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	1.2.1
Linux 電腦上應停用本機驗證方法	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Linux 伺服器未停用本機驗證方法，則電腦不符合規範。這可驗證 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取，以改善整體安全性態勢。	AuditIfNotExists, Disabled	1.2.0-preview
Windows 伺服器上應停用本機驗證方法	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果 Windows 伺服器未停用本機驗證方法，則電腦不符合規範。這可驗證 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取，以改善整體安全性態勢。	AuditIfNotExists, Disabled	1.0.0-preview
應啟用客體設定指派的私人端點	私人端點連線透過啟用與虛擬機器客體設定的私人連線，可強制執行安全通訊。除非虛擬機器具有 'EnablePrivateNetworkGC' 標籤，否則虛擬機器將不符合規範。此標籤會透過與虛擬機器客體設定的私人連線來強制執行安全通訊。私人端點連線限制僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。	Audit, Deny, Disabled	1.1.0
應在您的機器上啟用 Windows Defender 惡意探索防護	Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。「惡意探索防護」有四個元件，設計用來鎖定裝置，使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為，同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。	AuditIfNotExists, Disabled	2.0.0
Windows 機器應設定為使用安全通訊協定	若要保護透過網際網路通訊的資訊隱私權，您的機器應使用最新版的業界標準密碼編譯通訊協定，即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。	AuditIfNotExists, Disabled	4.1.1
Windows 電腦應設定 Windows Defender 在一天內更新保護簽章	若要提供足夠的保護以抵禦新發行的惡意程式碼，Windows Defender 保護簽章必須定期更新以應對新發行的惡意程式碼。此原則不會套用至 Arc 連線的伺服器，而且會要求必須已將來賓設定必要條件部署至原則指派範圍。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	AuditIfNotExists, Disabled	1.0.1
Windows 電腦應啟用 Windows Defender 即時保護	Windows 電腦應啟用 Windows Defender 中的即時保護，提供足夠的保護以抵禦新發行的惡意程式碼。此原則不適用於 Arc 連線的伺服器，而且會要求必須已將來賓設定必要條件部署至原則指派範圍。如需有關客體設定的詳細資訊，請造訪 https://aka.ms/gcpol。	AuditIfNotExists, Disabled	1.0.1
Windows 電腦應符合「系統管理範本 - 控制台」的需求	Windows 電腦在 [系統管理範本 - 控制台] 類別中應具有指定的群組原則設定，以將輸入個人化和防止啟用鎖定畫面。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統管理範本 - MSS (舊版)」的需求	Windows 電腦的 [系統管理範本 - MSS (舊版)] 類別中應具有指定的群組原則設定，以用於自動登入、螢幕保護裝置、網路行為、安全 DLL 和事件記錄檔。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統管理範本 - 網路」的需求	Windows 電腦在 [系統管理範本 - 網路] 類別中應具有指定的 [群組原則] 設定，以進行來賓登入、同時連線、網路橋接器、ICS 和多點傳送名稱解析。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統管理範本 - 系統」的需求	Windows 電腦的 [系統管理範本 - 系統] 類別中應具有指定的群組原則設定，以透過設定來控制系統管理體驗和遠端協助。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 帳戶」的需求	Windows 電腦的 [安全性選項 - 帳戶] 類別中應具有指定群組原則設定，以限制空白密碼和來賓帳戶狀態下的本機帳戶使用方式。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 稽核」的需求	Windows 電腦的「安全性選項 - 稽核」類別中應有指定的群組原則設定，以強制執行稽核原則子類別，並在無法記錄安全性審核時關閉。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 裝置」的需求	Windows 電腦的 [安全性選項 - 裝置] 類別中應具有指定群組原則設定，以在不登入的情況下進行卸除、安裝列印驅動程式，以及格式化/退出媒體。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 互動式登入」的需求	Windows 電腦的 [安全性選項 - 互動式登入] 類別中應具有指定的群組原則設定，以顯示最後一個使用者名稱，並要求使用 ctrl-alt-del。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - Microsoft 網路用戶端」的需求	Windows 電腦的 [安全性選項 - Microsoft 網路用戶端] 類別中應具有指定的群組原則設定，以用於 Microsoft 網路用戶端/伺服器和 SMB v1。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求	Windows 電腦在 [安全性選項 - Microsoft 網路伺服器] 類別中應具有指定的 [群組原則] 設定，才能停用 SMB v1 伺服器。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 網路存取」的需求	Windows 電腦的 [安全性選項 - 網路存取] 類別中應具有指定的群組原則設定，以包含匿名使用者的存取、本機帳戶及登錄的遠端存取。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 網路安全性」的需求	Windows 電腦在 [安全性選項 - 網路安全性] 類別中應具有指定的 [群組原則] 設定，以便包含本機系統行為、PKU2U、LAN Manager、LDAP 用戶端和 NTLM SSP。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 修復主控台」的需求	Windows 電腦的 [安全性選項 - 復原主控台] 類別中應該有指定的群組原則設定，以允許對所有磁碟機和資料夾進行軟碟複製和存取。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 關機」的需求	Windows 電腦的 [安全性選項 - 關閉] 類別中應具有指定的群組原則設定，以允許在不登入的情況下關機，以及清除虛擬記憶體分頁檔。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 系統物件」的需求	Windows 電腦的 [安全性選項 - 系統物件] 類別中應具有指定的群組原則設定，以因應非 Windows 子系統和內部系統物件權限的大小寫區分。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 系統設定」的需求	Windows 電腦的 [安全性選項 - 系統設定] 類別中應具有指定的群組原則設定，以在SRP 和選擇性子系統的可執行檔上建立憑證規則。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求	Windows 電腦的 [安全性選項 - 使用者帳戶控制] 類別中應該有指定的群組原則設定，以用於管理員模式、提高權限提示行為及虛擬化檔案和登錄寫入失敗。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「安全性設定 - 帳戶原則」的需求	Windows 電腦的 [安全性設定 - 帳戶原則] 類別中應具有指定的群組原則設定，以取得密碼歷程記錄、存留期、長度、複雜度，以及使用可還原的加密來儲存密碼。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 帳戶登入」的需求	Windows 電腦的 [系統稽核原則 - 帳戶登入] 類別中應具有指定的群組原則設定，以用於稽核認證驗證和其他帳戶登入事件。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 帳戶管理」的需求	Windows 電腦的「系統稽核原則 - 帳戶管理」類別中應有指定的群組原則設定，以用於稽核應用程式、安全性和使用者群組管理及其他管理事件。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求	Windows 電腦的「系統稽核原則 - 詳細追蹤」類別中應有指定的群組原則設定，以用於稽核 DPAPI、程序建立/終止、RPC 事件和 PNP 活動。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 登入-登出」的需求	Windows 電腦的 [系統稽核原則 - 登入-登出] 類別中應具有指定的群組原則設定，以用於稽核 IPSec、網路原則、宣告、帳戶鎖定、群組成員資格，以及登入/登出事件。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 物件存取」的需求	Windows 電腦的 [系統稽核原則 - 物件存取] 類別中應具有指定的群組原則設定，以用於稽核檔案、登錄、SAM、儲存體、篩選、核心和其他系統類型。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 原則變更」的需求	Windows 電腦的 [系統稽核原則 - 原則變更] 類別中應具有指定的群組原則設定，以用於稽核系統稽核原則的變更。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求	Windows 電腦的 [系統稽核原則 - 特殊權限使用] 類別中應具有指定的群組原則設定，以用於稽核非敏感性和其他特殊權限的使用。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「系統稽核原則 - 系統」的需求	Windows 電腦的 [系統稽核原則 - 系統] 類別中應具有指定的群組原則設定，以用於稽核 IPsec 驅動程式、系統完整性、系統擴充、狀態變更和其他系統事件。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「使用者權限指派」的需求	Windows 電腦的「使用者權限指派」類別中應具有指定的群組原則設定，以允許本機登入、RDP、從網路存取，以及其他許多使用者活動。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「Windows 元件」的需求	Windows 電腦的 [Windows 元件] 類別中應具有指定的群組原則設定，以用於基本驗證、未加密流量、Microsoft 帳戶、遙測、Cortana 和其他 Windows 行為。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 電腦應符合「Windows 防火牆屬性」的需求	Windows 電腦的 [Windows 防火牆內容] 類別中應具有指定的群組原則設定，以用於防火牆狀態、連線、規則管理和通知。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	3.0.0
Windows 機器應符合 Azure 計算安全性基準的需求	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定，則電腦不符合規範。	AuditIfNotExists, Disabled	2.0.0
Windows 電腦應該只有允許的本機帳戶	需要將必要條件部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支援此定義。使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。如果有本機使用者帳戶已啟用但是未列在原則參數中，則機器不符合規範。	AuditIfNotExists, Disabled	2.0.0
Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。	雖然虛擬機器的 OS 和資料磁碟預設會使用平台受控金鑰進行待用加密；但是資源磁碟 (暫存磁碟)、資料快取以及計算與儲存體資源之間的資料流動不會加密。使用 Azure 磁碟加密或 EncryptionAtHost 來補救。請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應項目。此原則需要兩個必要條件才能部署至原則指派範圍。如需詳細資料，請前往 https://aka.ms/gcpol 。	AuditIfNotExists, Disabled	1.1.1

HDInsight

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure HDInsight 叢集應插入虛擬網路	在虛擬網路中插入 Azure HDInsight 叢集，即可解放進階的 HDInsight 網路與安全性功能，並為您提供網路安全性設定的控制權。	稽核、停用、拒絕	1.0.0
Azure HDInsight 叢集應使用客戶自控金鑰加密待用資料	使用客戶自控金鑰來管理 Azure HDInsight 叢集的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/hdi.cmk。	Audit, Deny, Disabled	1.0.1
Azure HDInsight 叢集應使用主機加密來加密待用資料	啟用主機上的加密可協助保護資料安全，以符合貴組織安全性和合規性承諾。當您啟用主機上的加密時，儲存在 VM 主機上的資料會在待用時加密，並將流量加密至儲存體服務。	Audit, Deny, Disabled	1.0.0
Azure HDInsight 叢集在傳輸時應使用加密，對 Azure HDInsight 叢集節點之間的通訊進行加密	在 Azure HDInsight 叢集節點之間傳輸期間，資料可能會遭到竄改。啟用傳輸中加密可解決在此傳輸期間誤用和竄改的問題。	Audit, Deny, Disabled	1.0.0
Azure HDInsight 應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。您可以將私人端點對應至 Azure HDInsight 叢集，藉此降低資料洩漏風險。深入了解私人連結：https://aka.ms/hdi.pl。	AuditIfNotExists, Disabled	1.0.0
設定 Azure HDInsight 叢集，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure HDInsight 叢集進行解析。深入了解：https://aka.ms/hdi.pl。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure HDInsight 叢集	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至 Azure HDInsight 叢集，藉此降低資料洩漏風險。深入了解私人連結：https://aka.ms/hdi.pl。	DeployIfNotExists, Disabled	1.0.0

Health Bot

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Health Bot 應使用客戶自控金鑰來加密待用資料	使用客戶自控金鑰 (CMK) 來管理 Healthbot 資料的待用加密。根據預設，資料會使用服務管理的金鑰進行待用加密，但通常需要有 CMK 才能符合法規合規性標準。 CMK 可讓您使用自己建立並擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://docs.microsoft.com/azure/health-bot/cmk	Audit, Disabled	1.0.0

健康資料服務工作區

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 健康資料服務工作區應使用私人連結	健康資料服務工作區應至少有一個已核准的私人端點連線。虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。如需詳細資訊，請瀏覽：https://aka.ms/healthcareapisprivatelink。	Audit, Disabled	1.0.0

健康情況去身分識別服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 健康資料服務去身分識別服務應該停用公用網路存取	停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。	Audit, Disabled	1.0.0
Azure 健康資料服務去身分識別服務應該使用私人連結	Azure 健康資料服務去身分識別服務應該至少有一個已核准的私人端點連線。虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。	Audit, Disabled	1.0.0

Healthcare API

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
CORS 不應允許每個網域存取您的 FHIR 服務	跨原始資源共用 (CORS) 不應允許所有網域存取您的 FHIR 服務。若要保護您的 FHIR 服務，請移除所有網域的存取權，並明確定義允許連線的網域。	稽核、稽核、停用、停用	1.1.0
DICOM 服務應使用客戶自控金鑰為待用資料加密	若需要符合法規或合規性需求，請使用客戶自控金鑰來控制 Azure 健康資料服務 DICOM 服務中儲存的待用資料加密。客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密，來提供雙重加密。	Audit, Disabled	1.0.0
FHIR 服務應使用客戶自控金鑰為待用資料加密	若需要符合法規或合規性需求，請使用客戶自控金鑰來控制 Azure 健康資料服務 FHIR 服務中儲存的待用資料加密。客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密，來提供雙重加密。	Audit, Disabled	1.0.0

物聯網

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure IoT 中樞應使用客戶自控金鑰加密待用資料	使用客戶自控金鑰加密 IoT 中樞的待用資料，會在預設服務自控金鑰之上新增第二層加密，讓客戶能夠控制金鑰、自訂輪替原則，以及透過金鑰存取控制管理資料的存取權。客戶自控金鑰必須在 IoT 中樞建立期間設定。如需如何設定客戶自控金鑰的詳細資訊，請參閱https://aka.ms/iotcmk。	Audit, Deny, Disabled	1.0.0-preview
[預覽版]：IoT 中樞裝置佈建服務資料應使用客戶自控金鑰 (CMK) 進行加密	使用客戶自控金鑰來管理 IoT 中樞裝置佈建服務的待用加密。會使用服務代控金鑰進行待用加密，但若要遵循法規標準，通常需要有客戶自控金鑰 (CMK)。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。在 https://aka.ms/dps/CMK 深入了解 CMK 加密。	Audit, Deny, Disabled	1.0.0-preview
Azure Device Update 帳戶應該使用客戶自控金鑰加密待用資料	使用客戶自控金鑰加密 Azure Device Update 的待用資料，會在預設服務自控金鑰之上新增第二層加密，讓客戶能夠控制金鑰、自訂輪替原則，以及透過金鑰存取控制管理資料的存取權。在以下位置深入了解：https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption。	Audit, Deny, Disabled	1.0.0
IoT 中樞帳戶的 Azure 裝置更新應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至 IoT 中樞 Azure Device Update 帳戶，資料外洩風險就會降低。	AuditIfNotExists, Disabled	1.0.0
Azure IoT 中樞應停用服務 API 的本機驗證方法	停用本機驗證方法可確保 Azure IoT 中樞僅需要 Azure Active Directory 身分識別進行 Service Api 驗證，以提升安全性。深入了解：https://aka.ms/iothubdisablelocalauth。	Audit, Deny, Disabled	1.0.0
設定 Azure IoT 中樞裝置更新帳戶，以停用公用網路存取	停用公用網路存取屬性可確保您的 IoT 中樞裝置更新只能從私人端點存取，進而改善安全性。此原則會停用 IoT 中樞裝置更新資源的公用網路存取。	修改、停用	1.0.0
設定 Azure IoT 中樞裝置更新帳戶以使用私人 DNS 區域	Azure Private DNS 提供一個可靠、安全的 DNS 服務，讓您不必新增自訂 DNS 解決方案，就能管理及解析虛擬網路中的網域名稱。您可以使用私人 DNS 區域來覆寫 DNS 解析，方法是使用您自己的私人端點自訂網域名稱。此原則會針對 IoT 中樞私人端點的裝置更新部署私人 DNS 區域。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure IoT 中樞裝置更新帳戶	私人端點是在客戶自用虛擬網路內配置的私人 IP 位址，可透過來連線到 Azure 資源。此原則可為 IoT 中樞裝置更新部署私人端點，以允許虛擬網路內的服務連線到此資源，而不需要將流量傳送至 IoT 中樞裝置更新的公用端點。	DeployIfNotExists, Disabled	1.1.0
設定 Azure IoT 中樞以停用本機驗證	停用本機驗證方法，讓您的 Azure IoT 中樞一定要使用 Azure Active Directory 身分識別來進行驗證。深入了解：https://aka.ms/iothubdisablelocalauth。	修改、停用	1.0.0
設定 IoT 中樞裝置佈建執行個體以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure IoT 中樞裝置佈建服務執行個體進行解析。深入了解：https://aka.ms/iotdpsvnet。	DeployIfNotExists, Disabled	1.0.0
設定 IoT 中樞裝置佈建服務執行個體以停用公用網路存取	停用 IoT 中樞裝置佈建執行個體的公用網路存取權，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/iotdpsvnet。	修改、停用	1.0.0
使用私人端點設定 IoT 中樞裝置佈建服務執行個體	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。只要將私人端點對應到 IoT 中樞裝置佈建服務，就能降低資料外洩的風險。深入了解私人連結：https://aka.ms/iotdpsvnet。	DeployIfNotExists, Disabled	1.0.0
部署 - 設定 Azure IoT 中樞以使用私人 DNS 區域	Azure Private DNS 提供一個可靠、安全的 DNS 服務，讓您不必新增自訂 DNS 解決方案，就能管理及解析虛擬網路中的網域名稱。您可以使用私人 DNS 區域來覆寫 DNS 解析，方法是使用您自己的私人端點自訂網域名稱。此原則會針對 IoT 中樞私人端點部署私人 DNS 區域。	deployIfNotExists、DeployIfNotExists、disabled、Disabled	1.1.0
部署 - 使用私人端點設定 Azure IoT 中樞	私人端點是在客戶自用虛擬網路內配置的私人 IP 位址，可透過來連線到 Azure 資源。此原則可為 IoT 中樞部署私人端點，以允許 VNet 內的服務連線到 IoT 中樞，而不需要將流量傳送至 IoT 中樞的公用端點。	DeployIfNotExists, Disabled	1.0.0
部署 - 將 IoT Central 設定為使用私人 DNS 區域	Azure Private DNS 提供一個可靠、安全的 DNS 服務，讓您不必新增自訂 DNS 解決方案，就能管理及解析虛擬網路中的網域名稱。您可以使用私人 DNS 區域來覆寫 DNS 解析，方法是使用您自己的私人端點自訂網域名稱。此原則會為 IoT Central 私人端點部署私人 DNS 區域。	DeployIfNotExists, Disabled	1.0.0
部署 - 使用私人端點設定 IoT Central	私人端點是在客戶自用虛擬網路內配置的私人 IP 位址，可透過來連線到 Azure 資源。此原則可為 IoT Central 部署私人端點，以允許 VNet 內的服務連線到 IoT Central，而無須將流量傳送至 IoT Central 的公用端點。	DeployIfNotExists, Disabled	1.0.0
IoT Central 應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至您的 IoT Central 應用程式 (而非整個服務)，可以降低資料外洩風險。深入了解私人連結：https://aka.ms/iotcentral-network-security-using-pe。	Audit, Deny, Disabled	1.0.0
IoT 中樞裝置佈建服務執行個體應停用公用網路存取	停用公用網路存取，可確保 IoT 中樞裝置佈建服務執行個體不會在公用網際網路上公開，進而改善安全性。建立私人端點可以限制 IoT 中樞裝置佈建執行個體的曝光。深入了解：https://aka.ms/iotdpsvnet。	Audit, Deny, Disabled	1.0.0
IoT 中樞裝置佈建服務執行個體應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到 IoT 中樞裝置佈建服務，就能降低資料外洩的風險。深入了解私人連結：https://aka.ms/iotdpsvnet。	Audit, Disabled	1.0.0
修改 - 設定 Azure IoT 中樞以停用公用網路存取	停用公用網路存取屬性可確保您的 Azure IoT 中樞只能從私人端點存取，從而提高安全性。此原則會停用 IoT 中樞資源的公用網路存取。	修改、停用	1.0.0
修改 - 設定 IoT Central 以停用公用網路存取	停用公用網路存取屬性可確保您的 IoT Central 只能從私人端點存取，從而提高安全性。此原則會停用 IoT 中樞資源的公用網路存取。	修改、停用	1.0.0
應為 IoT 中樞啟用私人端點	私人端點連線透過啟用 Azure IoT 中樞的私人連線，強制執行安全通訊。設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。	Audit, Disabled	1.0.0
應停用 Azure IoT 中樞裝置更新帳戶的公用網路存取	停用公用網路存取屬性可確保只能從私人端點存取 Azure IoT 中樞裝置更新帳戶，進而提高安全性。	Audit, Deny, Disabled	1.0.0
應停用 Azure IoT 中樞上的公用網路存取	停用公用網路存取屬性可確保您的 Azure IoT 中樞只能從私人端點存取，從而提高安全性。	Audit, Deny, Disabled	1.0.0
應為 IoT Central 停用公用網路存取	若要改善 IoT Central 的安全性，請確定並未將其公開至公用網際網路，而只能從私人端點加以存取。停用公用網路存取屬性，如 https://aka.ms/iotcentral-restrict-public-access 中所述。此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。這會降低資料洩漏風險。	Audit, Deny, Disabled	1.0.0
應啟用 IoT 中樞內的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	3.1.0

Key Vault

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure Key Vault 受控 HSM 金鑰應具有到期日	若要在預覽中使用此原則，您必須先遵循以下位置的這些指示：https://aka.ms/mhsmgovernance。密碼編譯金鑰應具有已定義的到期日，而不是永久有效。永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。建議的安全性做法是在密碼編譯金鑰上設定到期日。	Audit, Deny, Disabled	1.0.1-preview
[預覽]：Azure Key Vault 受控 HSM 金鑰在到期日前應具有大於指定的天數	若要在預覽中使用此原則，您必須先遵循以下位置的這些指示：https://aka.ms/mhsmgovernance。如果金鑰太接近到期日，則組織若延遲輪替金鑰，可能會導致中斷。金鑰應在到期前的指定天數內輪替，以提供足夠的時間來回應失敗。	Audit, Deny, Disabled	1.0.1-preview
[預覽]：使用橢圓曲線加密的 Azure Key Vault 受控 HSM 金鑰應具有指定的曲線名稱	若要在預覽中使用此原則，您必須先遵循以下位置的這些指示：https://aka.ms/mhsmgovernance。由橢圓曲線密碼編譯支援的金鑰可以有不同的曲線名稱。有些應用程式只與特定的橢圓曲線金鑰相容。強制執行可在您環境中建立的橢圓曲線金鑰類型。	Audit, Deny, Disabled	1.0.1-preview
[預覽]：使用 RSA 加密的 Azure Key Vault 受控 HSM 金鑰應有指定的金鑰大小下限	若要在預覽中使用此原則，您必須先遵循以下位置的這些指示：https://aka.ms/mhsmgovernance。設定允許與金鑰保存庫搭配使用的最小金鑰大小。使用小型金鑰的 RSA 金鑰並不是安全的做法，也不符合許多產業認證需求。	Audit, Deny, Disabled	1.0.1-preview
[預覽]：Azure Key Vault 受控 HSM 應停用公用網路存取	停用 Azure Key Vault 受控 HSM 的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure Key Vault 受控 HSM 應該使用私人連結	私人連結提供不需透過公用網際網路傳送流量即可將 Azure Key Vault 受控 HSM 連線至 Azure 資源的方法。私人連結提供深層防禦保護，以防止資料外流。深入了解：https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link	Audit, Disabled	1.0.0-preview
[預覽]：憑證應由指定的非整合式憑證授權單位發行	藉由指定可在金鑰保存庫中發行憑證的自訂或內部憑證授權單位，來管理您的組織合規性需求。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：將 Azure Key Vault 受控 HSM 設為停用公用網路存取	停用 Azure Key Vault 受控 HSM 的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。	修改、停用	2.0.0-preview
[預覽]：使用私人端點設定 Azure Key Vault 受控 HSM	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至 Azure Key Vault 受控 HSM，藉此降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。	DeployIfNotExists, Disabled	1.0.0-preview
Azure Key Vault 受控 HSM 應啟用清除保護	惡意刪除 Azure Key Vault 受控 HSM 可能會導致永久的資料遺失。您組織中可能有惡意的內部人員能夠刪除和清除 Azure Key Vault 受控 HSM。清除保護可對虛刪除的 Azure Key Vault 受控 HSM 強制執行必要的保留期間，以保護您免於遭受內部攻擊。您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的 Azure Key Vault 受控 HSM。	Audit, Deny, Disabled	1.0.0
Azure Key Vault 應停用公用網路存取	停用金鑰保存庫的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/akvprivatelink。	Audit, Deny, Disabled	1.1.0
Azure Key Vault 應該啟用防火牆	啟用金鑰保存庫防火牆，以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍以限制對這些網路的存取。深入了解：https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Deny, Disabled	3.2.1
Azure Key Vault 應該使用 RBAC 權限模型	啟用跨 Key Vault 的 RBAC 權限模型。深入了解：https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Audit, Deny, Disabled	1.0.1
Azure Key Vault 應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至您的金鑰保存庫，就能降低資料外洩風險。深入了解私人連結：https://aka.ms/akvprivatelink。	[parameters('audit_effect')]	1.2.1
憑證應由指定的整合式憑證授權單位發行	藉由指定可在金鑰保存庫中發行憑證的 Azure 整合式憑證授權單位 (例如 Digicert 或 GlobalSign)，來管理您的組織合規性需求。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.0
憑證應由指定的非整合式憑證授權位單位發行	藉由指定可在金鑰保存庫中發行憑證的一個自訂或內部憑證授權單位，來管理您的組織合規性需求。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.1
憑證應具有指定的存留期動作觸發程序	指定憑證存留期動作要在達到其存留期的特定百分比時觸發，或在到期前特定天數時觸發，以管理您的組織合規性需求。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.0
憑證應具有指定的有效期間上限	藉由指定憑證在金鑰保存庫中的有效期間上限，來管理組織的合規性需求。	audit， Audit， deny， Deny， Deny， disabled， Disabled	2.2.1
憑證不應在指定的天數內到期	管理將在指定天數內到期的憑證，以確保到期之前，您的組織有足夠的時間輪替憑證。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.1
憑證應使用允許的金鑰類型	限制允許憑證使用的金鑰類型，以管理您的組織合規性需求。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.0
使用橢圓曲線密碼編譯的憑證應該有允許的曲線名稱	針對金鑰保存庫中儲存的 ECC 憑證，管理允許的橢圓曲線名稱。如需詳細資訊，請參閱 https://aka.ms/akvpolicy。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.0
使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小	為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小，以管理您的組織合規性需求。	稽核、稽核、拒絕、拒絕、停用、停用	2.1.0
設定 Azure Key Vault 以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對金鑰保存庫進行解析。深入了解：https://aka.ms/akvprivatelink。	DeployIfNotExists, Disabled	1.0.1
使用私人端點設定 Azure Key Vault	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。只要將私人端點對應至您的金鑰保存庫，就能降低資料外洩風險。深入了解私人連結：https://aka.ms/akvprivatelink。	DeployIfNotExists, Disabled	1.0.1
設定金鑰保存庫以啟用防火牆	啟用金鑰保存庫防火牆，以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。接著，您可以設定特定的 IP 範圍來限制對這些網路的存取。深入了解：https://docs.microsoft.com/azure/key-vault/general/network-security	修改、停用	1.1.1
部署 - 進行 Azure Key Vault 到 Log Analytics 工作區的診斷設定	當建立或更新的 Key Vault，缺少讓 Azure Key Vault 將資源記錄串流至 Log Analytics 工作區的診斷設定時，就部署此診斷設定。	DeployIfNotExists, Disabled	2.0.1
部署 - 對事件中樞進行診斷設定，以在 Azure Key Vault 受控 HSM 上啟用	針對 Azure Key Vault 受控 HSM 部署診斷設定，以在建立或更新任何缺少此診斷設定的 Azure Key Vault 受控 HSM 時，將該診斷設定串流至區域事件中樞。	DeployIfNotExists, Disabled	1.0.0
將 Key Vault 的診斷設定部署至事件中樞	針對 Key Vault 部署診斷設定，以在任何缺少此診斷設定的 Key Vault 建立或更新時串流至區域事件中樞。	DeployIfNotExists, Disabled	3.0.1
Key Vault 金鑰應具有到期日	密碼編譯金鑰應具有已定義的到期日，而不是永久有效。永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。建議的安全性做法是在密碼編譯金鑰上設定到期日。	Audit, Deny, Disabled	1.0.2
Key Vault 祕密應設定到期日	祕密應具有已定義的到期日，而不是永久有效。永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。建議的安全性做法是在祕密上設定到期日。	Audit, Deny, Disabled	1.0.2
金鑰保存庫應啟用刪除保護	惡意刪除金鑰保存庫可能會導致永久的資料遺失。您可以啟用清除保護和虛刪除來防止永久遺失資料。清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間，以保護您免於遭受內部攻擊。您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。請記住，在 2019 年 9 月 1 日之後建立的金鑰保存庫依預設會啟用虛刪除。	Audit, Deny, Disabled	2.1.0
金鑰保存庫應已啟用虛刪除	刪除未啟用虛刪除的金鑰保存庫時，將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。意外刪除金鑰保存庫可能會導致永久的資料遺失。虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。	Audit, Deny, Disabled	3.0.0
金鑰應採用硬體安全性模組 (HSM)	HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。若沒有提供比軟體金鑰更高層級的安全性，密碼編譯金鑰無法離開實體 HSM。	Audit, Deny, Disabled	1.0.1
金鑰應為指定的密碼編譯類型 RSA 或 EC	某些應用程式需要使用由特定密碼編譯類型支援的金鑰。在您環境中強制執行特定密碼編譯的金鑰類型 (RSA 或 EC)。	Audit, Deny, Disabled	1.0.1
金鑰應該有輪替原則，以確保其輪替排程在建立後的指定天數內。	指定金鑰建立後直到必須輪替為止的天數上限，以管理組織的合規性需求。	Audit, Disabled	1.0.0
金鑰的天數應大於指定的到期前天數	如果金鑰太接近到期日，則組織若延遲輪替金鑰，可能會導致中斷。金鑰應在到期前的指定天數內輪替，以提供足夠的時間來回應失敗。	Audit, Deny, Disabled	1.0.1
金鑰應具有指定的最大有效期間	藉由指定金鑰可在金鑰保存庫內的有效期間上限 (以天為單位)，來管理組織的合規性需求。	Audit, Deny, Disabled	1.0.1
金鑰的使用時間不應超過指定天數	指定金鑰應使用的天數。長時間使用的金鑰會增加攻擊者危害金鑰的機率。作為良好的安全性做法，請確定您的金鑰有效期未超過兩年。	Audit, Deny, Disabled	1.0.1
使用橢圓曲線密碼編譯的金鑰應具有指定的曲線名稱	由橢圓曲線密碼編譯支援的金鑰可以有不同的曲線名稱。有些應用程式只與特定的橢圓曲線金鑰相容。強制執行可在您環境中建立的橢圓曲線金鑰類型。	Audit, Deny, Disabled	1.0.1
使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小	設定允許與金鑰保存庫搭配使用的最小金鑰大小。使用小型金鑰的 RSA 金鑰並不是安全的做法，也不符合許多產業認證需求。	Audit, Deny, Disabled	1.0.1
應啟用 Azure Key Vault 受控 HSM 中的資源記錄	若要在發生安全性事件或網路遭到入侵時，重新建立活動軌跡以供調查之用，您可能會想要在受控 HSM 上啟用資源記錄來進行稽核。請遵照這裡的指示進行：https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。	AuditIfNotExists, Disabled	1.1.0
應啟用 Key Vault 中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0
祕密應設定內容類型	內容類型標記可協助識別祕密是否為密碼、連接字串等。不同的祕密有不同的輪替需求。內容類型標記應設定於祕密上。	Audit, Deny, Disabled	1.0.1
祕密的天數應大於指定的到期前天數	如果祕密太接近到期日，則組織若延遲輪替祕密，可能會導致中斷。祕密應在到期前的指定天數內輪替，以提供足夠的時間來回應失敗。	Audit, Deny, Disabled	1.0.1
祕密應具有指定的最大有效期間	藉由指定祕密可在金鑰保存庫內的有效期間上限 (以天為單位)，來管理組織的合規性需求。	Audit, Deny, Disabled	1.0.1
祕密的使用時間不應超過指定天數	如果您的祕密在建立時，設定了未來的啟用日期，則您必須確保祕密的使用時間不超過指定的持續時間。	Audit, Deny, Disabled	1.0.1

Kubernetes

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：[映像完整性] Kubernetes 叢集應該只使用以標記法簽署的映像	使用以標記法簽署的映像，以確保映像來自受信任的來源，且不會遭到惡意修改。如需詳細資訊，請造訪 https://aka.ms/aks/image-integrity	Audit, Disabled	1.1.0-preview
[預覽]：啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組	適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。該延伸模組會從叢集內的所有節點收集資料，並將其傳送到雲端的 Azure Defender for Kubernetes 後端，以進一步分析。在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。	AuditIfNotExists, Disabled	6.0.0-preview
[預覽]：無法編輯個別節點	無法編輯個別節點。使用者不應該編輯個別節點。請編輯節點集區。修改個別節點可能會導致設定不一致、操作挑戰和潛在的安全性風險。	Audit, Deny, Disabled	1.3.0-preview
[預覽]：設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝適用於雲端的 Microsoft Defender 延伸模組	適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。該延伸模組會從叢集內的所有節點收集資料，並將其傳送到雲端的 Azure Defender for Kubernetes 後端，以進一步分析。在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。	DeployIfNotExists, Disabled	7.3.0-preview
[預覽]：在 Azure Kubernetes Service 上部署映像完整性	部署映像完整性和原則附加元件 Azure Kubernetes 叢集。如需詳細資訊，請造訪 https://aka.ms/aks/image-integrity	DeployIfNotExists, Disabled	1.0.5-preview
[預覽]：Kubernetes 叢集容器映像必須包含 preStop 勾點	需要容器映像包含 preStop 勾點，以在 Pod 關機期間正常終止程序。	Audit, Deny, Disabled	1.1.0-preview
[預覽]：Kubernetes 叢集容器映像不應包含最新的映像標籤	需要容器映像在 Kubernetes 中不使用最新的標籤，最佳做法是確保重現性、防止非預期的更新，以及使用明確和已設定版本的容器映像，更輕鬆地偵錯和復原。	Audit, Deny, Disabled	1.1.0-preview
[預覽]：Kubernetes 叢集容器應該只在映像提取祕密存在時提取映像	限制容器的映像提取，以強制 ImagePullSecrets 存在，確保 Kubernetes 叢集內映像的安全和授權存取	Audit, Deny, Disabled	1.2.0-preview
[預覽]：Kubernetes 叢集服務應該使用唯一選取器	請確定命名空間中的服務具有唯一的選取器。唯一的服務選取器可確保命名空間中的每個服務都根據特定準則進行唯一識別。此原則會透過 Gatekeeper 將輸入資源同步處理到 OPA。套用之前，請確認 Gatekeeper Pod 記憶體容量不會超過。參數會套用至特定命名空間，但其會跨所有命名空間同步處理該類型的所有資源。目前針對 Kubernetes Service (AKS) 為預覽階段。	Audit, Deny, Disabled	1.2.0-preview
[預覽]：Kubernetes 叢集應該實作精確的 Pod 中斷預算	防止錯誤的 Pod 中斷預算，確保最少的作業 Pod 數目。如需詳細資訊，請參閱官方 Kubernetes 文件。依賴 Gatekeeper 資料複寫，並將其範圍內的所有輸入資源同步處理到 OPA。套用此原則之前，請確定同步處理的輸入資源不會對您的記憶體容量造成負擔。雖然參數會評估特定命名空間，但跨命名空間的所有該類型資源都會同步處理。注意：目前針對 Kubernetes Service (AKS) 為預覽階段。	Audit, Deny, Disabled	1.3.0-preview
[預覽]：Kube 叢集應限制指定資源類型的建立	指定的 Kube 資源類型不應部署在特定命名空間中。	Audit, Deny, Disabled	2.3.0 預覽
[預覽]：必須設定反親和性規則	此原則可確保 Pod 排程在叢集內的不同節點上。藉由強制執行反親和性規則，即使其中一個節點變得無法使用，仍會維護可用性。 Pod 會繼續在其他節點上執行，增強復原能力。	Audit, Deny, Disabled	1.2.0-preview
[預覽]: 將 K8s 容器變動以卸除所有功能	將 securityContext.capabilities.drop 變更為在 "ALL" 中新增。這會卸除 k8s Linux 容器的所有功能	Mutate, Disabled	1.1.0-preview
[預覽]: 將 K8s Init 容器變動以卸除所有功能	將 securityContext.capabilities.drop 變更為在 "ALL" 中新增。這會卸除 k8s linux init 容器的所有功能	Mutate, Disabled	1.1.0-preview
[預覽]：沒有 AKS 特定標籤	防止客戶套用 AKS 特定標籤。 AKS 會使用前面加上 `kubernetes.azure.com` 的標籤來表示 AKS 擁有的元件。客戶不應該使用這些標籤。	Audit, Deny, Disabled	1.2.0-preview
[預覽]：將 runAsNotRoot 設定為 true，防止容器以 root 身分執行。	將 runAsNotRoot 設定為 true 可藉由防止容器以 root 身分執行來提高安全性。	Mutate, Disabled	1.0.0-preview
[預覽]：將 runAsNotRoot 設定為 true，防止 Init 容器以 root 身分執行。	將 runAsNotRoot 設定為 true 可藉由防止容器以 root 身分執行來提高安全性。	Mutate, Disabled	1.0.0-preview
[預覽]：如果套用突變，列印訊息	查閱套用的突變註釋，並在註釋存在時列印訊息。	Audit, Disabled	1.1.0-preview
[預覽]：已保留系統集區污點	將 CriticalAddonsOnly 污點限制為僅系統集區。 AKS 會使用 CriticalAddonsOnly 污點讓客戶 Pod 遠離系統集區。可確保 AKS 元件與客戶 Pod 之間的清楚區隔，並防止客戶 Pod 在不允許 CriticalAddonsOnly 污點時被收回。	Audit, Deny, Disabled	1.2.0-preview
[預覽]：將 CriticalAddonsOnly 污點限制為僅系統集區。	為了避免將使用者應用程式從使用者集區收回，並維護使用者與系統集區之間的分開考量，'CriticalAddonsOnly' 污點不應套用至使用者集區。	Mutate, Disabled	1.2.0-preview
[預覽]：將容器中 Pod 規格中的 automountServiceAccountToken 設定為 false。	藉由避免預設自動掛接服務帳戶權杖，將 automountServiceAccountToken 設定為 false 會增加安全性	Mutate, Disabled	1.1.0-preview
[預覽]：將 Kubernetes 叢集容器 securityContext.runAsUser 欄位設定為 1000，非根使用者識別碼	減少因存在安全性弱點而提升根使用者的權限所帶來的攻擊面。	Mutate, Disabled	1.0.0-preview
[預覽]：如果不存在，將 Kubernetes 叢集容器 CPU 限制設定為預設值。	設定容器 CPU 限制，以防止 Kubernetes 叢集中的資源消耗攻擊。	Mutate, Disabled	1.2.0-preview
[預覽]：如果不存在，將 Kubernetes 叢集容器記憶體限制設定為預設值。	設定容器記憶體限制，以防止 Kubernetes 叢集中的資源消耗攻擊。	Mutate, Disabled	1.2.0-preview
[預覽]：如果不存在，將 Kubernetes 叢集容器的安全運算模式設定檔類型設定為 RuntimeDefault。	設定容器的安全運算模式設定檔類型，以防止未經授權的及潛在的有害系統從使用者空間呼叫核心。	Mutate, Disabled	1.1.0-preview
[預覽]：將 Kubernetes 叢集 init 容器 securityContext.runAsUser 欄位設定為 1000，非根使用者識別碼	減少因存在安全性弱點而提升根使用者的權限所帶來的攻擊面。	Mutate, Disabled	1.0.0-preview
[預覽]：如果不存在，將 Kubernetes 叢集 init 容器的安全運算模式設定檔類型設定為 RuntimeDefault。	設定 init 容器的安全運算模式設定檔類型，以防止未經授權的及潛在的有害系統從使用者空間呼叫核心。	Mutate, Disabled	1.1.0-preview
[預覽]：將 Kubernetes 叢集 Pod securityContext.runAsUser 欄位設定為 1000，非根使用者識別碼	減少因存在安全性弱點而提升根使用者的權限所帶來的攻擊面。	Mutate, Disabled	1.0.0-preview
[預覽]：將 podDisruptionBudget 資源的 maxUnavailable Pod 設定為 1	將無法使用 Pod 值上限設定為 1，可確保您的應用程式或服務在中斷期間可供使用	Mutate, Disabled	1.2.0-preview
[預覽]：將 init 容器中 Pod 規格中的權限提升設定為 false。	藉由防止容器允許權限提升，例如透過 set-user-ID 或 set-group-ID 檔案模式，在 init 容器中將權限提升設定為 false，會增加安全性。	Mutate, Disabled	1.1.0-preview
[預覽]：將 Pod 規格中的權限提升設定為 false。	藉由防止容器允許權限提升，例如透過 set-user-ID 或 set-group-ID 檔案模式，將權限提升設定為 false，會增加安全性。	Mutate, Disabled	1.1.0-preview
[預覽]：如果未設定，則會將 init 容器中 Pod 規格的 readOnlyRootFileSystem 設定為 true。	將 readOnlyRootFileSystem 設定為 true 可藉由防止容器寫入根檔案系統來提高安全性。這僅適用於 Linux 容器。	Mutate, Disabled	1.2.0-preview
[預覽]：如果未設定，請將 Pod 規格中的 readOnlyRootFileSystem 設定為 true。	將 readOnlyRootFileSystem 設定為 true 可藉由防止容器寫入根檔案系統來提高安全性	Mutate, Disabled	1.2.0-preview
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組	Azure Arc 的 Azure 原則延伸模組提供大規模強制執行，並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。深入了解：https://aka.ms/akspolicydoc。	AuditIfNotExists, Disabled	1.1.0
已啟用 Azure Arc 的 Kubernetes 叢集應已安裝 Open Service Mesh 延伸模組	Open Service Mesh 延伸模組提供所有標準服務網格功能，用於應用程式服務的安全性、流量管理和觀察性。在這裡深入了解：https://aka.ms/arc-osm-doc	DeployIfNotExists、AuditIfNotExists、Disabled	1.0.0
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Strimzi Kafka 延伸模組	Strimzi Kafka 延伸模組提供運算子來安裝 Kafka，以建置即時資料管線，以及具有安全性與可檢視性功能的串流應用程式。在以下位置深入了解：https://aka.ms/arc-strimzikafka-doc。	DeployIfNotExists、AuditIfNotExists、Disabled	1.0.0
Azure Kubernetes 叢集應該停用 SSH	停用 SSH 可讓您保護叢集並減少受攻擊面。若要深入了解，請造訪：aka.ms/aks/disablessh	Audit, Disabled	1.0.0
Azure Kubernetes 叢集應啟用容器儲存體介面 (CSI)	容器儲存體介面 (CSI) 是將任意區塊和檔案儲存系統公開給 Azure Kubernetes Service 上容器化工作負載的標準。若要深入了解，https://aka.ms/aks-csi-driver	Audit, Disabled	1.0.0
Azure 叢集應該啟用金鑰管理服務 (KMS)	利用金鑰管理服務 (KMS) 來加密 etcd 的待用資料，以確保 Kubernetes 叢集安全性。深入了解：https://aka.ms/aks/kmsetcdencryption。	Audit, Disabled	1.0.0
Azure Kubernetes 叢集應使用 Azure CNI	Azure CNI 是某些 Azure Kubernetes Service 功能的必要條件，包括 Azure 網路原則、Windows 節點集區和虛擬節點附加元件。深入了解：https://aka.ms/aks-azure-cni	Audit, Disabled	1.0.1
Azure Kubernetes Service 叢集應停用命令叫用	停用命令叫用可避免略過受限制的網路存取或 Kubernetes 角色型存取控制，進而增強安全性	Audit, Disabled	1.0.1
Azure Kubernetes Service 叢集應該啟用叢集自動升級	AKS 叢集自動升級可確保叢集是最新的，且不會錯過來自 AKS 和上游 Kubernetes 的最新功能或修補程式。深入了解：https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster。	Audit, Disabled	1.0.0
Azure Kubernetes Service 叢集應該啟用 Image Cleaner	Image Cleaner 會執行自動易受攻擊、未使用映像識別和移除，以降低過時映像的風險，並減少清除映像所需的時間。深入了解：https://aka.ms/aks/image-cleaner。	Audit, Disabled	1.0.0
Azure Kubernetes Service 叢集應該啟用 Microsoft Entra ID 整合	AKS 管理的 Microsoft Entra ID 整合可以管理對叢集的存取權，方法為根據使用者的身分識別或目錄群組成員資格來配置 Kubernetes 角色型存取控制 (Kubernetes RBAC)。深入了解：https://aka.ms/aks-managed-aad。	Audit, Disabled	1.0.2
Azure Kubernetes Service 叢集應該啟用節點 OS 自動升級	AKS 節點 OS 自動升級會控制節點層級 OS 安全性更新。深入了解：https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。	Audit, Disabled	1.0.0
Azure Kubernetes Service 叢集應該啟用工作負載身分識別	工作負載身分識別可讓您將唯一的身分識別指派給每個 Kubernetes Pod，並將其與 Azure AD 保護的資源 (例如 Azure Key Vault) 產生關聯，以從 Pod 內安全地存取這些資源。深入了解：https://aka.ms/aks/wi。	Audit, Disabled	1.0.0
Azure Kubernetes Service 叢集應已啟用 Defender 設定檔	適用於容器的 Microsoft Defender 提供雲端原生 Kubernetes 安全性功能，包括環境強化、工作負載保護以及執行階段防護。您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時，代理程式會部署到您的叢集，以收集安全性事件資料。請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender	Audit, Disabled	2.0.1
Azure Kubernetes Service 叢集應停用本機驗證方法	停用本機驗證方法可確保 Azure Kubernetes Service 叢集應該僅需要 Azure Active Directory 身分認證進行驗證，以提升安全性。深入了解：https://aka.ms/aks-disable-local-accounts。	Audit, Deny, Disabled	1.0.1
Azure Kubernetes Service 叢集應使用受控識別	使用受控識別來包裝服務主體、簡化叢集管理，並避免受管理的服務主體所需的複雜性。深入了解：https://aka.ms/aks-update-managed-identities	Audit, Disabled	1.0.1
應啟用 Azure Kubernetes Service 私人叢集	為您的 Azure Kubernetes Service 叢集啟用私人叢集功能，以確保 API 伺服器與節點集區之間的網路流量只會保留在私人網路上。這是許多法規和業界合規性標準的常見需求。	Audit, Deny, Disabled	1.0.1
您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件	適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸，可以統一集中的方式，大規模地對您的叢集實施及施行保護。	Audit, Disabled	1.0.2
Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密	使用客戶自控金鑰加密 OS 和資料磁碟，可在金鑰管理方面提供更大的控制能力和彈性。這是許多法規和業界合規性標準的常見需求。	Audit, Deny, Disabled	1.0.1
請設定已啟用 Azure Arc 的 Kubernetes 叢集，以安裝 Azure 原則延伸模組	部署 Azure Arc 的 Azure 原則延伸模組以提供大規模強制執行，並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。請至https://aka.ms/akspolicydoc，即可深入瞭解。	DeployIfNotExists, Disabled	1.1.0
設定 Azure Kubernetes Service 叢集以啟用 Defender 設定檔	適用於容器的 Microsoft Defender 提供雲端原生 Kubernetes 安全性功能，包括環境強化、工作負載保護以及執行階段防護。您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.Defender 時，代理程式會部署到您的叢集，以收集安全性事件資料。請深入了解適用於容器的 Microsoft Defender：https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。	DeployIfNotExists, Disabled	4.3.0
設定 Kubernetes 叢集上的 Flux 延伸模組安裝	在 Kubernetes 叢集安裝 Flux 延伸模組，以在叢集中啟用 'fluxconfigurations' 部署	DeployIfNotExists, Disabled	1.0.0
使用 KeyVault 中的貯體來源和祕密，以 Flux v2 設定來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。此定義需要 Key Vault 中儲存的貯體 SecretKey。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.0
使用 Git 存放庫和 HTTPS CA 憑證，以 Flux v2 設定來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義需要 HTTPS CA 憑證。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.1
使用 Git 存放庫和 HTTPS 祕密，以 Flux v2 設定來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義需要 Key Vault 中儲存的 HTTPS 金鑰祕密。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.0
使用 Git 存放庫和本機祕密，以 Flux v2 設定來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.0
使用 Git 存放庫和 SSH 祕密，以 Flux v2 設定來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義需要 Key Vault 中儲存的 SSH 私密金鑰祕密。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.0
使用公用 Git 存放庫，以 Flux v2 設定來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義不需要任何祕密。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.0
使用本機祕密，以指定的 Flux v2 Bucket 來源來設定 Kubernetes 叢集	將 'fluxConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。如需指示，請瀏覽 https://aka.ms/GitOpsFlux2Policy。	DeployIfNotExists, Disabled	1.0.0
使用採用 HTTPS 祕密的指定 GitOps 設定，設定 Kubernetes 叢集	將 'sourceControlConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義需要儲存在金鑰保存庫中的 HTTPS 使用者和金鑰密碼。如需指示，請瀏覽 https://aka.ms/K8sGitOpsPolicy。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	1.1.0
使用未使用祕密的指定 GitOps 設定，設定 Kubernetes 叢集	將 'sourceControlConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義不需要任何祕密。如需指示，請瀏覽 https://aka.ms/K8sGitOpsPolicy。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	1.1.0
使用採用 SSH 祕密的指定 GitOps 設定，設定 Kubernetes 叢集	將 'sourceControlConfiguration' 部署到 Kubernetes 叢集，確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。此定義需要在金鑰保存庫中使用 SSH 私密金鑰密碼。如需指示，請瀏覽 https://aka.ms/K8sGitOpsPolicy。	auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled	1.1.0
設定 Microsoft Entra ID 整合式 Azure Container Service 叢集，使其具有必要的系統管理員群組存取權	集中管理對 Microsoft Entra ID 整合式 AKS 叢集的系統管理員存取，以確保改善叢集安全性。	DeployIfNotExists, Disabled	2.1.0
在 Azure Kubernetes 叢集上設定節點 OS 自動升級	使用節點 OS 自動升級來控制 Azure Kubernetes Service (AKS) 叢集的節點層級 OS 安全性更新。如需詳細資訊，請瀏覽 https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。	DeployIfNotExists, Disabled	1.0.1
部署 - 進行 Azure Kubernetes Service 到 Log Analytics 工作區的診斷設定	部署診斷設定，讓 Azure Kubernetes Service 將資源記錄串流到 Log Analytics 工作區。	DeployIfNotExists, Disabled	3.0.0
將 Azure 原則附加元件部署至 Azure Kubernetes Service 叢集	使用 Azure 原則附加元件來管理和報告 Azure Kubernetes Service (AKS) 叢集的合規性狀態。如需詳細資訊，請參閱https://aka.ms/akspolicydoc。	DeployIfNotExists, Disabled	4.1.0
在 Azure Kubernetes Service 上部署 Image Cleaner	在 Azure Kubernetes 叢集上部署 Image Cleaner。如需詳細資訊，請造訪 https://aka.ms/aks/image-cleaner	DeployIfNotExists, Disabled	1.0.4
部署計劃性維護來排程和控制 Azure Kubernetes Service (AKS) 叢集的升級	計劃性維護可讓您排程每週維護時段來執行更新，並將工作負載影響降到最低。排程之後，只會在您選取的時段進行升級。深入了解：https://aka.ms/aks/planned-maintenance	DeployIfNotExists、AuditIfNotExists、Disabled	1.1.0
停用 Azure Kubernetes Service 叢集上的命令叫用	停用命令叫用可拒絕對叢集的叫用命令存取，從而增強安全性	DeployIfNotExists, Disabled	1.2.0
請確認叢集容器已設定整備或活躍度探查	此原則會強制所有 Pod 都已設定整備度探查和/或活躍度探查。探查類型可以是任何 tcpSocket、HTTPGet 和 exec 任一個。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需使用此原則的指示，請造訪 https://aka.ms/kubepolicydoc。	Audit, Deny, Disabled	3.3.0
容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制	強制執行容器 CPU 和記憶體資源限制，以防止 Kubernetes 叢集內的資源耗盡攻擊。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	9.3.0
Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間	禁止 Kubernetes 叢集內的 Pod 容器，共用主機處理序識別碼命名空間與主機 IPC 命名空間。這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分，旨在改善 Kubernetes 環境的安全性。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	5.2.0
Kubernetes 叢集中的容器不得使用禁止的 sysctl 介面	容器不應在 Kubernetes 叢集中使用禁止的 sysctl 介面。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	7.2.0
Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔	Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	6.2.0
Kubernetes 叢集中的容器只能使用允許的功能	限制功能以減少 Kubernetes 叢集內容器的受攻擊面。這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分，旨在改善 Kubernetes 環境的安全性。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	6.2.0
Kubernetes 叢集容器應該只使用允許的映像檔	使用來自受信任登錄的映像，以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	9.3.0
Kubernetes 叢集中的容器只能使用允許的 ProcMountType	Pod 容器只能在 Kubernetes 叢集中使用允許的 ProcMountTypes。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	8.2.0
Kubernetes 叢集容器應只使用允許的提取原則	限制容器的提取原則略，以強制容器在部署上只使用允許的映像	Audit, Deny, Disabled	3.2.0
Kubernetes 叢集中的容器只能使用允許的 seccomp 設定檔	Pod 容器只會在 Kubernetes 叢集中使用允許的 seccomp 設定檔。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	7.2.0
Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行	使用唯讀根檔案系統執行容器，以防止在執行階段發生變更，讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	6.3.0
Kubernetes 叢集中的 Pod FlexVolume 磁碟區只能使用允許的驅動程式	Pod FlexVolume 磁碟區只能在 Kubernetes 叢集中使用允許的驅動程式。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	5.2.0
Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑	限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。這個原則通常適合 Kubernetes 服務 (AKS)，以及啟用 Azure Arc 的 Kubernetes。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	6.2.0
Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行	控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	6.2.0
Kubernetes 叢集 Pod 及容器只應使用允許的 SELinux 選項	Pod 和容器只能在 Kubernetes 叢集中使用允許的 SELinux 選項。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	7.2.0
Kubernetes 叢集中的 Pod 只能使用允許的磁碟區類型	Pod 在 Kubernetes 叢集中只會使用允許的磁碟區類型。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	5.2.0
Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍	限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。這項建議是 CIS 5.2.4 的一部分，旨在改善 Kubernetes 環境的安全性。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	6.2.0
Kubernetes 叢集 Pod 應使用指定的標籤	使用指定的標籤來識別 Kubernetes 叢集中的 Pod。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	7.2.0
確保服務只會接聽 Kubernetes 叢集內允許的連接埠	限制服務只會接聽允許的連接埠，以保護 Kubernetes 叢集的存取權。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	8.2.0
Kubernetes 叢集服務只可使用允許的外部 IP	使用允許的外部 IP 來避免 Kubernetes 叢集中的潛在攻擊 (CVE-2020-8554)。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	5.2.0
在 Kubernetes 叢集內不應允許具有特殊權限的容器	請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。這項建議是 CIS 5.2.1 的一部分，旨在改善 Kubernetes 環境的安全性。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	9.2.0
Kubernetes 叢集不應使用裸 Pod	封鎖使用祼 Pod。若節點失敗，不會重新排程祼 Pod。 Pod 應由 Deployment、Replicset、Daemonset 或 Jobs 管理	Audit, Deny, Disabled	2.3.0
Kubernetes 叢集 Windows 容器不應過度認可 CPU 與記憶體	Windows 容器資源要求應小於或等於資源限制或未指定，以避免過度認可。如果 Windows 記憶體佈建過多，則會處理磁碟中的分頁，這樣會降低效能，而不是終止記憶體不足的容器	Audit, Deny, Disabled	2.2.0
Kubernetes 叢集視窗容器不應以容器管理員身分執行	避免以使用者身分利用容器管理員來執行 Windows Pod 或容器的容器處理序。這個建議目的在於提高 Windows 節點的安全性。如需詳細資訊，請參閱https://kubernetes.io/docs/concepts/windows/intro/。	Audit, Deny, Disabled	1.2.0
Kubernetes 叢集 Windows 容器應只使用核准的使用者與網域使用者群組執行	控制 Windows Pod 和容器可用來在 Kubernetes 叢集中執行的使用者。此建議是 Windows 節點上 Pod 安全性原則的一部分，其目的是為了改善 Kubernetes 環境的安全性。	Audit, Deny, Disabled	2.2.0
Kubernetes 叢集 Windows Pod 不應該執行 HostProcess 容器	防止對 Windows 節點的特殊權限存取。這個建議目的在於提高 Windows 節點的安全性。如需詳細資訊，請參閱https://kubernetes.io/docs/concepts/windows/intro/。	Audit, Deny, Disabled	1.0.0
Kubernetes 叢集應只能經由 HTTPS 存取	使用 HTTPS 可確保驗證，並保護傳輸中的資料不受網路層的竊聽攻擊。這個功能目前正常適合 Kubernetes 服務 (AKS)，以及已啟用 Azure Arc 的 Kubernetes 的預覽版。如需詳細資訊，請造訪 https://aka.ms/kubepolicydoc	稽核、稽核、拒絕、拒絕、停用、停用	8.2.0
Kubernetes 叢集應停用自動掛接 API 認證	停用自動掛接 API 認證，防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	4.2.0
Kubernetes 叢集應該確定僅於需要時才使用叢集管理員角色	角色「cluster-admin」提供廣泛的環境權力，只應在需要的位置和時機使用。	Audit, Disabled	1.1.0
Kubernetes 叢集應該將角色和叢集角色中的萬用字元使用降到最低	使用萬用字元「*」可能是安全性風險，因為其授與特定角色可能不需要的廣泛權限。如果角色具有太多權限，攻擊者或遭入侵使用者可能會濫用，以取得叢集中資源的未經授權存取權。	Audit, Disabled	1.1.0
Kubernetes 叢集不應允許容器提升權限	請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。這項建議是 CIS 5.2.5 的一部分，旨在改善 Kubernetes 環境的安全性。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	7.2.0
Kubernetes 叢集不應允許 ClusterRole/system: 彙總到編輯的端點編輯權限	因為 CVE-2021-25740，ClusterRole/system:aggregate-to-edit 不應該允許端點編輯權限，端點與 EndpointSlice 權限允許跨命名空間轉寄，https://github.com/kubernetes/kubernetes/issues/103675。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	Audit, Disabled	3.2.0
Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能	若要減少容器的攻擊面，請限制 CAP_SYS_ADMIN Linux 功能。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	5.1.0
Kubernetes 叢集不應使用特定的安全性功能	避免使用 Kubernetes 叢集中的特定安全性功能，以防止未授與權限存取 Pod 資源。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	5.2.0
Kubernetes 叢集不應使用預設命名空間	避免在 Kubernetes 叢集中使用預設命名空間，以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	4.2.0
Kubernetes 叢集應使用容器儲存體介面 (CSI) 驅動程式 StorageClass	容器儲存體介面 (CSI) 是一種標準，可對 Kubernetes 上的容器化工作負載公開任意區塊及檔案儲存體系統。樹狀結構內佈建程式 StorageClass 應自 AKS 1.21 版起淘汰。若要深入了解，https://aka.ms/aks-csi-driver	Audit, Deny, Disabled	2.3.0
Kubernetes 叢集應使用內部負載平衡器	使用內部負載平衡器讓 Kubernetes 服務僅供在與 Kubernetes 叢集相同的虛擬網路中執行的應用程式存取。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	稽核、稽核、拒絕、拒絕、停用、停用	8.2.0
Kubernetes 資源應該有必要的注釋	請確保已在指定的 Kubernetes 資源種類上附加必要的注釋，以改善您 Kubernetes 資源的資源管理。這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。	Audit, Deny, Disabled	3.2.0
應啟用 Azure Kubernetes Service 中的資源記錄	Azure Kubernetes Service 的資源記錄有助於在調查安全性事件時重新建立活動線索。將其啟用以確定記錄會在需要時存在	AuditIfNotExists, Disabled	1.0.0
在 Azure Kubernetes Service 叢集內，代理程式節點集區的暫存磁碟及快取應在主機上加密	為了增強資料安全性，儲存在 Azure Kubernetes Service 節點 VM 的虛擬機器 (VM) 主機上的資料，應該進行待用加密。這是許多法規和業界合規性標準的常見需求。	Audit, Deny, Disabled	1.0.1

實驗室服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Lab Services 應該啟用自動關機的所有選項	此原則會強制執行實驗室啟用的所有自動關機選項，以利進行成本管理。	Audit, Deny, Disabled	1.1.0
Lab Services 不應該允許實驗室的範本虛擬機器	此原則可防止透過 Lab Services 管理的實驗室建立和自訂範本虛擬機器。	Audit, Deny, Disabled	1.1.0
實驗室服務應該需要實驗室的非系統管理員使用者	此原則需要為透過實驗室服務管理的實驗室建立非系統管理員使用者帳戶。	Audit, Deny, Disabled	1.1.0
實驗室服務應該限制允許的虛擬機器 SKU 大小	此原則可讓您針對透過實驗室服務管理的實驗室限制特定計算 VM SKU。這會限制特定的虛擬機器大小。	Audit, Deny, Disabled	1.1.0

Lighthouse

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
允許管理租用戶識別碼透過 Azure Lighthouse 上線	將 Azure Lighthouse 委派限制於特定的管理租用戶，以限制可管理您 Azure 資源的人員，從而提高安全性。	拒絕	1.0.1
稽核管理租用戶的範圍委派	透過 Azure Lighthouse 稽核管理租用戶的範圍委派。	Audit, Disabled	1.0.0

Logic Apps

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Logic Apps 整合服務環境應使用客戶自控金鑰進行加密	部署至整合服務環境，以使用客戶自控金鑰來管理 Logic Apps 資料的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。	Audit, Deny, Disabled	1.0.0
Logic Apps 應部署到整合服務環境中	將 Logic Apps 部署到虛擬網路內的整合服務環境，即可開啟進階的 Logic Apps 網路與安全性功能，並為您提供更好的網路設定控制權。深入了解：https://aka.ms/integration-service-environment。部署到 Integration Service 環境也允許使用客戶自控金鑰進行加密，這可讓您管理加密金鑰，以提供更先進的資料保護。這通常是為了符合合規性需求。	Audit, Deny, Disabled	1.0.0
應啟用 Logic Apps 中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.1.0

Machine Learning

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure 機器學習部署應該只使用已核准的登錄模型	限制登錄模型的部署，以控制組織內使用的外部建立模型	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure Machine Learning 模型登錄部署受限，但允許的登錄除外	只在允許的登錄中部署登錄模型，且不受限制。	稽核, 拒絕, 停用	1.0.0-preview
Azure Machine Learning Compute 執行個體應有閒置關機。	閒置關機排程可在預先決定活動期間後的閒置階段關閉計算，來降低成本。	Audit, Deny, Disabled	1.0.0
應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新	請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。藉由使用最新的安全性修補檔來執行，可改善安全性並減少弱點。如需詳細資訊，請瀏覽 https://aka.ms/azureml-ci-updates/。	[parameters('effects')]	1.0.3
Azure Machine Learning Compute 應位於虛擬網路中	Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外，也提供增強的安全性與隔離環境。當計算是以虛擬網路設定時，將不會是公開定址，且只能從虛擬網路中的虛擬機器和應用程式存取。	Audit, Disabled	1.0.1
Azure Machine Learning Compute 應已停用本機驗證方法	停用本機驗證方法，藉由確保 Machine Learning 計算要求 Azure Active Directory 以獨佔方式識別來進行驗證，從而提高安全性。深入了解：https://aka.ms/azure-ml-aad-policy。	Audit, Deny, Disabled	2.1.0
應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區	使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/azureml-workspaces-cmk。	Audit, Deny, Disabled	1.1.0
Azure Machine Learning 工作區應停用公用網路存取	停用公用網路存取，確保 Machine Learning 工作區不會在公用網際網路上公開，藉此改善安全性。您可改為建立私人端點，以控制工作區的曝光狀況。深入了解：https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal.	Audit, Deny, Disabled	2.0.1
Azure Machine Learning 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性	Azure ML 正在 Azure Resource Manager 上轉換至新的 V2 API 平台，您可以使用 V1LegacyMode 參數來控制 API 平台版本。啟用 V1LegacyMode 參數可讓您將工作區保持在與 V1 相同的網路隔離中，但您將無法使用新的 V2 功能。建議您在需要將 AzureML 控制平面資料保留在私人網路內時，才開啟 V1 傳統模式。深入了解：https://aka.ms/V1LegacyMode。	Audit, Deny, Disabled	1.0.0
Azure Machine Learning 工作區應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至 Azure Machine Learning 工作區，可降低資料洩漏風險。深入了解私人連結：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	Audit, Disabled	1.0.0
Azure Machine Learning 工作區應使用使用者指派的受控識別	使用使用者指派的受控識別，管理 Azure ML 工作區的存取權，以及相關聯的資源、Azure Container Registry、KeyVault、儲存體和 App Insights。根據預設，Azure ML 工作區會使用系統指派的受控識別來存取相關資源。使用者指派的受控識別可讓您建立身分識別做為 Azure 資源，並維護該身分識別的生命週期。深入了解：https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。	Audit, Deny, Disabled	1.0.0
設定 Azure Machine Learning 計算以停用本機驗證方法	停用位置驗證方法，讓您的 Machine Learning 計算要求 Azure Active Directory 識別以獨佔方式來進行驗證。深入了解：https://aka.ms/azure-ml-aad-policy。	修改、停用	2.1.0
設定 Azure Machine Learning 工作區以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域連結至您的虛擬網路，以針對 Azure Machine Learning 工作區進行解析。深入了解：https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。	DeployIfNotExists, Disabled	1.1.0
設定 Azure Machine Learning 工作區以停用公用網路存取	停用 Azure Machine Learning 工作區的公用網路存取，讓您的工作區無法透過公用網際網路存取。這有助於保護工作區免於遭受資料洩漏的風險。您可改為建立私人端點，以控制工作區的曝光狀況。深入了解：https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。	修改、停用	1.0.3
使用私人端點設定 Azure Machine Learning 工作區	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至 Azure Machine Learning 工作區，您可以降低資料洩漏風險。深入了解私人連結：https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。	DeployIfNotExists, Disabled	1.0.0
將 Azure Machine Learning 工作區的診斷設定設定為 Log Analytics 工作區	在建立或更新任何缺少此診斷設定的 Azure Machine Learning 工作區時，請將 Azure Machine Learning 工作區的診斷設定部署至 Log Analytics 工作區的串流資源記錄。	DeployIfNotExists, Disabled	1.0.1
應啟用 Azure Machine Learning 工作區中的資源記錄	資源記錄可在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用。	AuditIfNotExists, Disabled	1.0.1

受控應用程式

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
受控應用程式的應用程式定義應使用客戶提供的儲存體帳戶	當此為法規或合規性需求時，請使用您自己的儲存體帳戶來控制應用程式定義資料。您可以選擇將受控應用程式定義儲存在您於在建立期間提供的儲存體帳戶中，以全面管理其位置和存取權進而符合法規合規性需求。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0
部署受控應用程式的關聯	部署關聯資源，將所選資源類型與指定的受控應用程式相關聯。此原則部署不支援巢狀資源類型。	deployIfNotExists	1.0.0

受控 Grafana

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 受控 Grafana 工作區應該停用電子郵件設定	停用電子郵件接觸點的 SMTP 設定組態，以在 Grafana 工作區中發出警示。	Audit, Deny, Disabled	1.0.0
Azure 受控 Grafana 工作區應該停用 Grafana Enterprise 升級	停用 Grafana 工作區中的 Grafana Enterprise 升級。	Audit, Deny, Disabled	1.0.0
Azure 受控 Grafana 工作區應該停用公用網路存取	停用公用網路存取可確保 Azure 受控 Grafana 工作區不會在公用網際網路上公開，藉此改善安全性。建立私人端點可能會限制您工作區的曝光。	Audit, Deny, Disabled	1.0.0
Azure 受控 Grafana 工作區應該停用服務帳戶	停用 Grafana 工作區中自動化工作負載的 API 金鑰和服務帳戶。	Audit, Deny, Disabled	1.0.0
Azure 受控 Grafana 工作區應該使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。透過將私人端點對應至受控 Grafana，就能降低資料外洩的風險。	Audit, Disabled	1.0.1
設定 Azure 受控 Grafana 工作區以停用公用網路存取	停用 Azure 受控 Grafana 工作區的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。	修改、停用	1.0.0
設定 Azure 受控 Grafana 工作區以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域連結至您的虛擬網路，以針對 Azure 受控 Grafana 工作區進行解析。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure 受控 Grafana 工作區	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。透過將私人端點對應至 Azure 受控 Grafana，就能降低資料外洩的風險。	DeployIfNotExists, Disabled	1.0.1

受控識別

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：來自 Azure Kubernetes 的受控識別同盟認證應來自信任的來源	此原則會將與 Azure Kubernetes 叢集的同盟限制為僅限來自已核准租用戶、已核准區域的叢集，以及其他叢集的特定例外清單。	稽核、停用、拒絕	1.0.0-preview
[預覽]：來自 GitHub 的受控識別同盟認證應來自信任的存放庫擁有者	此原則會將與 GitHub 存放庫的同盟限制為僅限已核准的存放庫擁有者。	稽核、停用、拒絕	1.0.1-preview
[預覽]：受控識別同盟認證應該來自允許的簽發者類型	此原則會限制受控識別是否可以使用允許通用簽發者類型的同盟認證，並提供允許的簽發者例外清單。	稽核、停用、拒絕	1.0.0-preview
[預覽]：將內建使用者指派的受控識別指派給虛擬機器擴展集	建立並指派內建使用者指派的受控識別，或將預先建立的使用者指派受控識別大規模指派給虛擬機器擴展集。如需詳細文件，請瀏覽 aka.ms/managedidentitypolicy。	AuditIfNotExists、DeployIfNotExists、Disabled	1.1.0-preview
[預覽]：將內建使用者指派的受控識別指派給虛擬機器	建立並指派內建使用者指派的受控識別，或將預先建立的使用者指派受控識別大規模指派給虛擬機器。如需詳細文件，請瀏覽 aka.ms/managedidentitypolicy。	AuditIfNotExists、DeployIfNotExists、Disabled	1.1.0-preview

地圖

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
CORS 不應允許每項資源存取您的地圖帳戶。	跨原始資源共用 (CORS) 不應允許所有網域存取您的地圖帳戶。請只允許必要網域與您的地圖帳戶互動。	停用、稽核、拒絕	1.0.0

媒體服務

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 媒體服務帳戶應停用公用網路存取	停用公用網路存取可確保媒體服務資源不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制媒體服務資源的曝光程度。深入了解：https://aka.ms/mediaservicesprivatelinkdocs。	Audit, Deny, Disabled	1.0.0
Azure 媒體服務帳戶應該使用支援私人連結的 API	媒體服務帳戶應該使用支援私人連結的 API 來建立。	Audit, Deny, Disabled	1.0.0
應封鎖允許存取舊版 v2 API 的 Azure 媒體服務帳戶	媒體服務舊版 v2 API 允許無法使用 Azure 原則管理的要求。使用 2020-05-01 API 或更新版本建立的媒體服務資源會封鎖對舊版 v2 API 的存取。	Audit, Deny, Disabled	1.0.0
Azure 媒體服務內容金鑰原則應該使用權杖驗證	內容金鑰原則會定義必須符合才能存取內容金鑰的條件。權杖限制可確保只有使用者具有來自驗證服務的有效權杖才能存取內容金鑰，例如 Microsoft Entra ID。	Audit, Deny, Disabled	1.0.1
Azure 媒體服務使用 HTTPS 輸入的作業應將輸入 URI 限制為允許的 URI 模式	將媒體服務作業所使用的 HTTPS 輸入限制為已知的端點。您可以設定所允許作業輸入模式的空白清單，來完全停用來自 HTTPS 端點的輸入。當作業輸入指定 'baseUri' 時，模式將會與此值進行比對；未設定 'baseUri' 時，模式會與 'files' 屬性進行比對。	稽核, 拒絕, 停用	1.0.1
Azure 媒體服務應使用客戶自控金鑰加密待用資料	使用客戶自控金鑰來管理媒體服務帳戶的待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。深入了解：https://aka.ms/mediaservicescmkdocs。	Audit, Deny, Disabled	1.0.0
Azure 媒體服務應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。透過將私人端點對應至 Azure 媒體服務，就能降低資料外洩的風險。深入了解私人連結：https://aka.ms/mediaservicesprivatelinkdocs。	AuditIfNotExists, Disabled	1.0.0
設定 Azure 媒體服務，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure 媒體服務帳戶進行解析。深入了解：https://aka.ms/mediaservicesprivatelinkdocs。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure 媒體服務	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。透過將私人端點對應至 Azure 媒體服務，就能降低資料外洩的風險。深入了解私人連結：https://aka.ms/mediaservicesprivatelinkdocs。	DeployIfNotExists, Disabled	1.0.0

移轉

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
設定 Azure Migrate 資源，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，針對您的 Azure Migrate 專案進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0

行動網路

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
設定封包核心控制平面診斷存取，以使用驗證類型 Microsoft Entra ID	驗證類型必須是 Microsoft Entra ID，才能透過本機 API 進行封包核心診斷存取	修改、停用	1.0.0
封包核心控制平面診斷存取應該只使用 Microsoft Entra ID 驗證類型	驗證類型必須是 Microsoft Entra ID，才能透過本機 API 進行封包核心診斷存取	Audit, Deny, Disabled	1.0.0
SIM 群組應使用客戶自控金鑰來加密待用資料	使用客戶自控金鑰來管理 SIM 群組中 SIM 祕密的待用加密。客戶自控金鑰通常必須符合法規合規性標準，且可讓資料以您建立和擁有的 Azure Key Vault 金鑰加密。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。	Audit, Deny, Disabled	1.0.0

監視

網路

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：所有網際網路流量都應透過您部署的 Azure 防火牆路由	Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取，以保護子網路免於遭受潛在威脅	AuditIfNotExists, Disabled	3.0.0-preview
[預覽]：Container Registry 應使用虛擬網路服務端點	此原則會稽核任何未設定為使用虛擬網路服務端點的 Container Registry。	Audit, Disabled	1.0.0-preview
必須將自訂的 IPsec/IKE 原則套用至所有 Azure 虛擬網路閘道連線	此原則可確保所有 Azure 虛擬網路閘道連線都使用自訂的網際網路通訊協定安全性 (Ipsec)/網際網路金鑰交換 (IKE) 原則。支援的演算法和金鑰強度 - https://aka.ms/AA62kb0	Audit, Disabled	1.0.0
所有流量記錄資源都應該處於啟用狀態	稽核流量記錄資源，以確認流量記錄狀態是否為已啟用。啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。	Audit, Disabled	1.0.1
App Service 應用程式應使用虛擬網路服務端點	使用虛擬網路服務端點，限制從 Azure 虛擬網路中的選定子網路對您應用程式的存取。若要深入了解 App Service 服務端點，請瀏覽 https://aka.ms/appservice-vnet-service-endpoint。	AuditIfNotExists, Disabled	2.0.1
稽核每個虛擬網路的流量記錄設定	稽核虛擬網路，以確定是否已設定流量記錄。啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。	Audit, Disabled	1.0.1
Azure 應用程式閘道應該使用 Azure WAF 進行部署	需要 Azure 應用程式閘道使用 Azure WAF 進行部署。	Audit, Deny, Disabled	1.0.0
Azure 防火牆傳統規則應移轉至防火牆原則	從 Azure 防火牆傳統規則移轉至防火牆原則，以利用 Azure 防火牆管理員等中央管理工具。	Audit, Deny, Disabled	1.0.0
應啟用 Azure 防火牆原則分析	啟用原則分析可提高流量流經 Azure 防火牆的可見度，讓您能夠最佳化防火牆設定，而不會影響應用程式效能	Audit, Disabled	1.0.0
Azure 防火牆原則應啟用威脅情報	您可為防火牆啟用威脅情報型篩選，以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。	Audit, Deny, Disabled	1.0.0
Azure 防火牆原則應已啟用 DNS Proxy	啟用 DNS Proxy 會讓與此原則建立關聯的 Azure 防火牆會在連接埠 53 上接聽，並將 DNS 要求轉送至指定的 DNS 伺服器	Audit, Disabled	1.0.0
應部署 Azure 防火牆，以跨越多個可用性區域	為了提高可用性，建議您部署 Azure 防火牆以跨越多個可用性區域。這可確保您的 Azure 防火牆在發生區域失敗時仍可供使用。	Audit, Deny, Disabled	1.0.0
Azure 防火牆標準 - 傳統規則應啟用威脅情報	您可為防火牆啟用威脅情報型篩選，以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。	Audit, Deny, Disabled	1.0.0
Azure 防火牆標準應升級至進階版，以進行新一代保護	如果您要尋找新一代保護，例如 IDPS 和 TLS 檢查，您應該考慮將 Azure 防火牆升級至進階版 SKU。	Audit, Deny, Disabled	1.0.0
Azure VPN 閘道不應使用「基本」SKU	此原則可確保 VPN 閘道不使用「基本」SKU。	Audit, Disabled	1.0.0
Azure 應用程式閘道上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查	請確定關聯至 Azure 應用程式閘道的 Azure Web 應用程式防火牆已啟用要求本文檢查。這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。	Audit, Deny, Disabled	1.0.0
Azure Front Door 上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查	請確定關聯至 Azure Front Door 的 Azure Web 應用程式防火牆已啟用要求本文檢查。這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。	Audit, Deny, Disabled	1.0.0
Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆	在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF)，以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式，使其免於遭受常見惡意探索和弱點的攻擊，例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。您也可以透過自訂規則，來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。	Audit, Deny, Disabled	1.0.2
應為 Azure 應用程式閘道 WAF 啟用 Bot 保護	此原則可確保所有 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護	Audit, Deny, Disabled	1.0.0
應為 Azure Front Door WAF 啟用 Bot 保護	此原則可確保所有 Azure Front Door Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護	Audit, Deny, Disabled	1.0.0
將 Azure 網路安全性群組的診斷設定設定為 Log Analytics 工作區	將診斷設定部署到 Azure 網路安全性群組，以將資源記錄串流到 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.0.0
設定網路安全性群組以啟用流量分析	使用原則建立期間所提供的設定，針對特定區域中裝載的所有網路安全性群組啟用流量分析。如果已啟用流量分析，則原則不會覆寫其設定。網路安全性群組也會啟用流量記錄 (如果尚未啟用)。流量分析是一個雲端式解決方案，可顯示雲端網路中的使用者和應用程式活動。	DeployIfNotExists, Disabled	1.2.0
設定網路安全性群組以使用特定工作區、儲存體帳戶和流量記錄保留原則進行流量分析	如果已啟用流量分析，則原則會將其現有的設定覆寫為原則建立期間所提供的設定。流量分析是一個雲端式解決方案，可顯示雲端網路中的使用者和應用程式活動。	DeployIfNotExists, Disabled	1.2.0
設定虛擬網路以啟用流量記錄和流量分析	使用原則建立期間所提供的設定，針對特定區域中裝載的所有虛擬網路啟用流量分析和流量記錄。此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。流量分析是一個雲端式解決方案，可顯示雲端網路中的使用者和應用程式活動。	DeployIfNotExists, Disabled	1.1.1
將虛擬網路設定為針對流量記錄和流量分析強制執行工作區、儲存體帳戶和保留間隔	如果虛擬網路已啟用流量分析，則此原則會將其現有的設定覆寫為原則建立期間所提供的設定。流量分析是一個雲端式解決方案，可顯示雲端網路中的使用者和應用程式活動。	DeployIfNotExists, Disabled	1.1.2
Cosmos DB 應該使用虛擬網路服務端點	此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。	Audit, Disabled	1.0.0
使用目標網路安全性群組部署流量記錄資源	設定特定網路安全性群組的流量記錄。其可記錄流過網路安全性群組的 IP 流量相關資訊。流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。	deployIfNotExists	1.1.0
使用目標虛擬網路部署流量記錄資源	設定特定虛擬網路的流量記錄。其可記錄流過虛擬網路的 IP 流量相關資訊。流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。	DeployIfNotExists, Disabled	1.1.1
於虛擬網路建立時部署網路監看員	此原則會在具有虛擬網路的區域中建立網路監看員資源。您必須確定名為 networkWatcherRG 的資源群組是否存在，其將用來部署網路監看員執行個體。	DeployIfNotExists	1.0.0
啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊	Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間，從特定用戶端 IP 位址到應用程式所允許的要求數目。	Audit, Deny, Disabled	1.0.0
事件中樞應該使用虛擬網路服務端點	此原則會稽核任何未設定為使用虛擬網路服務端點的事件中樞。	AuditIfNotExists, Disabled	1.0.0
應為每個網路安全性群組設定流量記錄	稽核網路安全性群組，以驗證是否已設定流量記錄。啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。	Audit, Disabled	1.1.0
閘道子網路不應設定網路安全性群組	若閘道子網路中設定了網路安全性群組，此原則將予以拒絕。為閘道子網路指派網路安全性群組，將導致閘道停止運作。	拒絕	1.0.0
Key Vault 應該使用虛擬網路服務端點	此原則會稽核任何未設定為使用虛擬網路服務端點的 Key Vault。	Audit, Disabled	1.0.0
將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則	如果您具有 WAF 組態而非 WAF 原則，您可能想要移至新的 WAF 原則。其後，防火牆原則將支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。	Audit, Deny, Disabled	1.0.0
網路介面應停用 IP 轉送	此原則會拒絕已啟用 IP 轉送的網路介面。 IP 轉送的設定會使 Azure 停止檢查網路介面的來源和目的地。這應該由網路安全性小組來檢閱。	拒絕	1.0.0
網路介面不應設定公用 IP	此原則會拒絕設定了任何公用 IP 的網路介面。公用 IP 位址可讓網際網路資源對 Azure 資源進行輸入通訊，以及讓 Azure 資源對網際網路進行輸出通訊。這應該由網路安全性小組來檢閱。	拒絕	1.0.0
網路監看員流程記錄應已啟用流量分析	流量分析可以分析流量記錄，讓您深入了解 Azure 雲端中的流量。它可用來視覺化 Azure 訂用帳戶中的網路活動，並識別作用點、識別安全性威脅、了解流量模式、找出網路錯誤設定等等。	Audit, Disabled	1.0.1
應啟用網路監看員	網路監看員是一項區域性服務，可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。案例層級監視可讓您在端對端網路層級檢視診斷問題。您必須在存在虛擬網路的每個區域中，建立網路監看員資源群組。如果特定區域無法使用網路監看員資源群組，就會啟用警示。	AuditIfNotExists, Disabled	3.0.0
公用 IP 和公用 IP 首碼應具有 FirstPartyUsage 標籤	確定所有公用 IP 位址和公用 IP 首碼都有 FirstPartyUsage 標籤。	Audit, Deny, Disabled	1.0.0
SQL Server 應該使用虛擬網路服務端點	此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。	AuditIfNotExists, Disabled	1.0.0
儲存體帳戶應該使用虛擬網路服務端點	此原則會稽核任何未設定為使用虛擬網路服務端點的儲存體帳戶。	Audit, Disabled	1.0.0
子網路應該是私人的	藉由防止預設的輸出存取，確定您的子網路是安全的。如需詳細資訊，請移至 https://aka.ms/defaultoutboundaccessretirement	Audit, Deny, Disabled	1.0.0
虛擬中樞應使用 Azure 防火牆保護	將 Azure 防火牆部署至虛擬中樞，以保護和細微控制網際網路輸出和輸入流量。	Audit, Deny, Disabled	1.0.0
虛擬機器應該連線到已核准的虛擬網路	此原則會稽核任何連線到未核准之虛擬網路的虛擬機器。	Audit, Deny, Disabled	1.0.0
虛擬網路應受 Azure DDoS 保護的保護	使用 Azure DDoS 保護來保護您的虛擬網路，防止體積型和通訊協定攻擊。如需詳細資訊，請瀏覽 https://aka.ms/ddosprotectiondocs。	修改、稽核、已停用	1.0.1
虛擬網路應該使用指定的虛擬網路閘道	此原則會稽核任何虛擬網路是否預設路由未指向指定的虛擬網路閘道。	AuditIfNotExists, Disabled	1.0.0
VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證	停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證，藉此提升安全性。深入了解 Azure AD 驗證，請參閱https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant	Audit, Deny, Disabled	1.0.0
應為應用程式閘道啟用 Web 應用程式防火牆 (WAF)	在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF)，以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式，使其免於遭受常見惡意探索和弱點的攻擊，例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。您也可以透過自訂規則，來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。	Audit, Deny, Disabled	2.0.0
Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式	在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。	Audit, Deny, Disabled	1.0.0
Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式	在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。	Audit, Deny, Disabled	1.0.0

入口網站

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
共用儀表板的 Markdown 組件不應出現內嵌內容	不允許在共用儀表板中建立具有內嵌內容的 Markdown 組件，也不允許強制將內容儲存為線上託管的 Markdown 檔案。如果您在 Markdown 組件中使用內嵌內容，就無法管理內容的加密。藉由設定自己的儲存體，您可以加密、雙重加密，甚至攜帶您自己的金鑰。啟用此原則會限制使用者使用 2020-09-01-preview 或更新版本的共用儀表板 REST API。	Audit, Deny, Disabled	1.0.0

PostgreSQL

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
應為 PostgreSQL 彈性伺服器佈建 Microsoft Entra 管理員	稽核 PostgreSQL 彈性伺服器的 Microsoft Entra 管理員佈建，以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務，簡化權限管理及集中管理身分識別	AuditIfNotExists, Disabled	1.0.0
應針對 PostgreSQL 彈性伺服器啟用 PgAudit 稽核	此原則可協助稽核環境中未啟用 pgaudit 的任何 PostgreSQL 彈性伺服器。	AuditIfNotExists, Disabled	1.0.0
應為 PostgreSQL 彈性伺服器啟用連線節流	此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 彈性伺服器。此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。	AuditIfNotExists, Disabled	1.0.0
將 PostgreSQL 彈性伺服器的診斷設定部署至 Log Analytics 工作區	針對 PostgreSQL 彈性伺服器部署診斷設定，以在任何缺少此診斷設定的 PostgreSQL 彈性伺服器建立或更新時串流至區域 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.0.0
應為 PostgreSQL 彈性伺服器記錄中斷連線。	此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 彈性伺服器。	AuditIfNotExists, Disabled	1.0.1
應為 PostgreSQL 彈性伺服器啟用 [強制執行 SSL 連線]	適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL)，將適用於 PostgreSQL 的 Azure 資料庫彈性伺服器連線至用戶端應用程式。在您的資料庫彈性伺服器和用戶端應用程式之間強制使用 SSL 連線，可將兩者之間的資料流加密，有助於抵禦「中間人」攻擊。此設定會強制一律啟用 SSL，以存取您的 PostgreSQL 彈性伺服器。	AuditIfNotExists, Disabled	1.0.0
應為適用於 PostgreSQL 的 Azure 資料庫彈性伺服器啟用異地備援備份	適用於 PostgreSQL 的 Azure 資料庫彈性伺服器可讓您為資料庫伺服器選擇備援選項。可以設定為異地備援備份儲存體，其中的資料不只會儲存在裝載您伺服器的區域內，也會複寫至配對的區域，以在發生區域失敗時提供復原選項。您只可在伺服器建立期間，為備份設定異地備援儲存體。	Audit, Disabled	1.0.0
應為 PostgreSQL 彈性伺服器啟用記錄檢查點	此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 彈性伺服器。	AuditIfNotExists, Disabled	1.0.0
應為 PostgreSQL 彈性伺服器啟用記錄連線	此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 彈性伺服器。	AuditIfNotExists, Disabled	1.0.0
PostgreSQL 彈性伺服器應該執行 TLS 1.2 版或更新版本	此原則可協助稽核環境中執行 TLS 1.2 版以下版本的任何 PostgreSQL 彈性伺服器。	AuditIfNotExists, Disabled	1.1.0
PostgreSQL 彈性伺服器應使用客戶自控金鑰為待用資料加密	使用客戶自控金鑰來管理 PostgreSQL 彈性伺服器的待用加密。根據預設，資料會使用服務管理的金鑰進行待用加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。	Audit, Deny, Disabled	1.1.0
PostgreSQL 彈性伺服器應啟用私人端點	私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線，可強制執行安全通訊。設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。	AuditIfNotExists, Disabled	1.0.0

復原能力

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：APIM 服務應該是「區域備援」	APIM 服務可以設定為「區域備援」。如果 APIM 服務的 SKU 名稱為「進階」，且其區域陣列中至少有兩個項目，則 APIM 服務為「區域備援」。此原則可識別缺少承受區域中斷所需備援的 APIM 服務。	Audit, Deny, Disabled	1.0.1-preview
[預覽]：App Service 方案應該是「區域備援」	App Service 方案可以設定為「區域備援」。當 App Service 方案的 'zoneRedundant' 屬性設定為 'false' 時，不會設定為「區域備援」。此原則會識別並強制執行 App Service 方案的區域備援組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：應用程式閘道應該是「區域復原」	應用程式閘道可以設定為「區域對齊」、「區域備援」或兩者皆非。在其區域陣列中僅有一個項目的應用程式閘道，會視為「區域對齊」。相反地，在其區域陣列中具有 3 個以上項目的應用程式閘道，會視為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure AI 搜尋服務應該是「區域備援」	Azure AI 搜尋服務可以設定為「區域備援」。當您將兩個或多個複本新增至搜尋服務時，會使用可用性區域。每個複本都會放在區域內不同的可用性區域中。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure Cache for Redis Enterprise 和 Flash 應該是「區域備援」	Azure Cache for Redis Enterprise 和 Flash 可以設定為「區域備援」。其區域陣列中具有少於 3 個項目的 Azure Cache for Redis Enterprise 和 Flash 執行個體不是「區域備援」。此原則會識別缺少承受區域中斷所需備援的 Azure Cache for Redis Enterprise 和 Flash 執行個體。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure Cache for Redis 應該是「區域備援」	Azure Cache for Redis 可以設定為「區域備援」。其區域陣列中具有少於 2 個項目的 Azure Cache for Redis 執行個體不是「區域備援」。此原則會識別缺少承受區域中斷所需備援的 Azure Cache for Redis 執行個體。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure 資料總管叢集應該是「區域備援」	Azure 資料總管叢集可以設定為「區域備援」。如果 Azure 資料總管叢集在其區域陣列中至少有兩個項目，則會將其視為「區域備援」。此原則可協助確保您的 Azure 資料總管叢集是「區域備援」。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：適用於 MySQL 的 Azure 資料庫彈性伺服器應該是「區域復原」	適用於 MySQL 的 Azure 資料庫彈性伺服器可以設定為「區域對齊」、「區域備援」或兩者皆非。在相同區域中具有針對高可用性選取之待命伺服器的 MySQL 伺服器，會被視為「區域對齊」。相反地，在不同區域中具有針對高可用性選取之待命伺服器的 MySQL 伺服器，會辨識為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：適用於 PostgreSQL 的 Azure 資料庫彈性伺服器應該是「區域復原」	適用於 PostgreSQL 的 Azure 資料庫彈性伺服器可以設定為「區域對齊」、「區域備援」或兩者皆非。在相同區域中具有針對高可用性選取之待命伺服器的 PostgreSQL 伺服器，會視為「區域對齊」。相反地，在不同區域中具有針對高可用性選取之待命伺服器的 PostgreSQL 伺服器，會辨識為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure HDInsight 應該是「區域對齊」	Azure HDInsight 可以設定為「區域對齊」。在其區域陣列中只有一個項目的 Azure HDInsight，會視為「區域對齊」。此原則可確保 Azure HDInsight 叢集設定為在單一可用性區域內運作。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure Kubernetes Service 受控叢集應該是「區域備援」	Azure Kubernetes Service 受控叢集可以設定為「區域備援」。此原則會檢查叢集中的節點集區，並確保已為所有節點集區設定可用性區域。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Azure 受控 Grafana 應該是「區域備援」	Azure 受控 Grafana 可以設定為「區域備援」。 Azure 受控 Grafana 執行個體是「區域備援」，其 'zoneRedundancy' 屬性設定為 'Enabled'。強制執行此原則有助於確保您的 Azure 受控 Grafana 已適當地設定為區域復原，降低區域中斷期間停機的風險。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：備份和 Site Recovery 應該是「區域備援」	備份和 Site Recovery 可以設定為「區域備援」。如果備份和 Site Recovery 的 'standardTierStorageRedundancy' 屬性設定為 'ZoneRedundant'，則其為「區域備援」。強制執行此原則有助於確保您的備份和 Site Recovery 已適當地設定為區域復原，降低區域中斷期間停機的風險。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：備份保存庫應該是「區域備援」	備份保存庫可以設定為「區域備援」。如果備份保存庫的儲存體設定類型設定為 'ZoneRedundant' 且視為復原，則其為「區域備援」。異地備援或本機備援備份保存庫不會視為復原。強制執行此原則有助於確保您的備份保存庫已適當地設定為區域復原，降低區域中斷期間停機的風險。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：容器應用程式應該是「區域備援」	容器應用程式可以設定為「區域備援」。如果容器應用程式受控環境的 'ZoneRedundant' 屬性設定為 true，則其為「區域備援」。此原則可識別缺少承受區域中斷所需備援的容器應用程式。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：容器執行個體應該是「區域對齊」	容器執行個體可以設定為「區域對齊」。如果在其區域陣列中只有一個項目，則會視為「區域對齊」。此原則可確保其設定為在單一可用性區域內運作。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Container Registry 應該是「區域備援」	Container Registry 可以設定為「區域備援」。當 Container Registry 的 zoneRedundancy 屬性設定為 'Disabled' 時，表示登錄不是「區域備援」。強制執行此原則有助於確保您的 Container Registry 已適當地設定為區域復原，降低區域中斷期間停機的風險。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Cosmos 資料庫帳戶應該是「區域備援」	Cosmos 資料庫帳戶可以設定為「區域備援」。如果 'enableMultipleWriteLocations' 設定為 'true'，則所有位置都必須有 'isZoneRedundant' 属性，而且必須設定為 'true'。如果 'enableMultipleWriteLocations' 設定為 'false'，則主要位置 ('failoverPriority' 設定為 0) 必須具有 'isZoneRedundant' 屬性，而且必須設定為 'true'。強制執行此原則可確保 Cosmos 資料庫帳戶已適當地設定為區域備援。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：事件中樞應該是「區域備援」	事件中樞可以設定為「區域備援」。如果事件中樞的 'zoneRedundant' 屬性設定為 'true'，則事件中樞是「區域備援」。強制執行此原則有助於確保您的事件中樞已適當地設定為區域復原，降低區域中斷期間停機的風險。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：防火牆應該是「區域復原」	防火牆可以設定為「區域對齊」、「區域備援」或兩者皆非。在其區域陣列中只有一個項目的防火牆，會視為「區域對齊」。相反地，在其區域陣列中具有 3 個以上項目的防火牆，會視為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Load Balancer 應該是「區域復原」	具有 Basic 以外 SKU 的 Load Balancer 會繼承其前端中公用 IP 位址的復原能力。結合「公用 IP 位址應該是區域復原」原則時，此方法可確保承受區域中斷的必要備援。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：受控磁碟應該是「區域復原」	受控磁碟可以設定為「區域對齊」、「區域備援」或兩者皆非。只有一個區域指派的受控磁碟是「區域對齊」。具有以 ZRS 結尾的 SKU 名稱的受控磁碟是「區域備援」。此原則可協助識別並強制執行受控磁碟的這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：NAT 閘道應該是「區域對齊」	NAT 閘道可以設定為「區域對齊」。在其區域陣列中只有一個項目的 NAT 閘道，會視為「區域對齊」。此原則可確保 NAT 閘道設定為在單一可用性區域內運作。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：公用 IP 位址應該是「區域復原」	公用 IP 位址可以設定為「區域對齊」、「區域備援」或兩者皆非。在其區域陣列中只有一個項目的區域公用 IP 位址，會視為「區域對齊」。相反地，在其區域陣列中具有 3 個以上項目的區域公用 IP 位址，會視為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.1.0-preview
[預覽]：公用 IP 首碼應該是「區域復原」	公用 IP 首碼可以設定為「區域對齊」、「區域備援」或兩者皆非。在其區域陣列中只有一個項目的公用 IP 首碼，會視為「區域對齊」。相反地，在其區域陣列中具有 3 個以上項目的公用 IP 首碼，會視為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：服務匯流排應該是「區域備援」	服務匯流排可以設定為「區域備援」。當服務匯流排的 'zoneRedundant' 屬性設定為 'false' 時，不會設定為「區域備援」。此原則會識別並強制執行服務匯流排執行個體的區域備援組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：Service Fabric 叢集應該是「區域備援」	Service Fabric 叢集可以設定為「區域備援」。其節點類型未將 multipleAvailabilityZones 設定為 true 的 Service Fabric 叢集，不是「區域備援」。此原則可識別缺少承受區域中斷所需備援的 Service Fabric 叢集。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：SQL Database 應該是「區域備援」	SQL Database 可以設定為「區域備援」。 'zoneRedundant' 設定設定為 'false' 的資料庫，不會設定為區域備援。此原則可協助識別需要區域備援組態的 SQL 資料庫，以增強 Azure 內的可用性和復原能力。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：SQL 彈性資料庫集區應該是「區域備援」	SQL 彈性資料庫集區可以設定為「區域備援」。如果 SQL 彈性資料庫集區的 'zoneRedundant' 屬性設定為 'true'，則 SQL 彈性資料庫集區是「區域備援」。強制執行此原則有助於確保您的事件中樞已適當地設定為區域復原，降低區域中斷期間停機的風險。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：SQL 受控執行個體應該是「區域備援」	SQL 受控執行個體可以設定為「區域備援」。 'zoneRedundant' 設定設定為 'false' 的執行個體，不會設定為區域備援。此原則可協助識別需要區域備援組態的 SQL 受控執行個體，以增強 Azure 內的可用性和復原能力。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：儲存體帳戶應該是「區域備援」	儲存體帳戶可以設定為「區域備援」。如果儲存體帳戶的 SKU 名稱不是以 'ZRS' 結尾，或其類型為 'Storage'，則儲存體帳戶不是「區域備援」。此原則可確保您的儲存體帳戶使用「區域備援」組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：虛擬機器擴展集應該是「區域復原」	虛擬機器擴展集可以設定為「區域對齊」、「區域備援」或兩者皆非。在其區域陣列中只有一個項目的虛擬機器擴展集，會視為「區域對齊」。相反地，在其區域陣列中具有 3 個以上的項目，且容量至少為 3 個的虛擬機器擴展集，會視為「區域備援」。此原則可協助識別並強制執行這些復原組態。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：虛擬機器應該是「區域對齊」	虛擬機器可以設定為「區域對齊」。如果在其區域陣列中只有一個項目，則會視為「區域對齊」。此原則可確保其設定為在單一可用性區域內運作。	Audit, Deny, Disabled	1.0.0-preview
[預覽]：虛擬網路閘道應該是「區域備援」	虛擬網路閘道可以設定為「區域備援」。其 SKU 名稱或階層不是以 'AZ' 結尾的虛擬網路閘道，不是「區域備援」。此原則可識別缺少承受區域中斷所需備援的虛擬網路閘道。	Audit, Deny, Disabled	1.0.0-preview

Search

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 認知搜尋服務應使用支援私人連結的 SKU	使用支援 Azure 認知搜尋的 SKU，Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到您的搜尋服務，就能降低資料外洩的風險。深入了解：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit, Deny, Disabled	1.0.0
Azure 認知搜尋服務應停用公用網路存取	停用公用網路存取可確保 Azure 認知搜尋服務不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制您搜尋服務的曝光。深入了解：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	Audit, Deny, Disabled	1.0.0
Azure 認知搜尋服務應停用本機驗證方法	停用本機驗證方法可確保 Azure 認知搜尋服務僅可透過 Azure Active Directory 識別身分來進行驗證，進而提升安全性。深入了解：https://aka.ms/azure-cognitive-search/rbac。請注意，雖然停用本機驗證參數仍處於預覽階段，但此原則的拒絕效果可能會導致 Azure 認知搜尋入口網站功能受限，因為入口網站的部分功能使用不支援該參數的 GA API。	Audit, Deny, Disabled	1.0.0
Azure 認知搜尋服務應使用客戶自控金鑰來加密待用資料	在 Azure 認知搜尋服務上使用客戶自控金鑰來啟用待用加密，可對用於加密待用資料的金鑰提供額外的控制。這項功能通常適用於具有特殊合規性需求的客戶，以便使用金鑰保存庫來管理資料加密金鑰。	Audit, Deny, Disabled	1.0.0
設定 Azure 認知搜尋服務以停用本機驗證	停用本機驗證方法，讓您的 Azure 認知搜尋服務僅可透過 Azure Active Directory 識別身分來進行驗證。深入了解：https://aka.ms/azure-cognitive-search/rbac。	修改、停用	1.0.0
將 Azure 認知搜尋服務設定成禁止從公用網路存取	停用 Azure 認知搜尋服務的公用網路存取權，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	修改、停用	1.0.0
設定 Azure 認知搜尋服務，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，針對您的 Azure 認知搜尋服務進行解析。深入了解：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	DeployIfNotExists, Disabled	1.0.0
設定 Azure 認知搜尋服務與私人端點	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至您的 Azure 認知搜尋服務，就可以降低資料外洩風險。深入了解：https://aka.ms/azure-cognitive-search/inbound-private-endpoints。	DeployIfNotExists, Disabled	1.0.0
應啟用搜尋服務中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0

資訊安全中心

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure 安全性代理程式應安裝在 Linux Arc 機器上	在 Linux Arc 機器上安裝 Azure 安全性代理程式，以監視機器的安全性設定以及是否有弱點。評量的結果可以在 Azure 資訊安全中心查看和管理。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：Azure 安全性代理程式應安裝在 Linux 虛擬機器擴展集上	在 Linux 虛擬機器擴展集上安裝 Azure 安全性代理程式，以監視機器的安全性設定以及是否有弱點。評量的結果可以在 Azure 資訊安全中心查看和管理。	AuditIfNotExists, Disabled	2.0.0-preview
[預覽]：Azure 安全性代理程式應安裝在 Linux 虛擬機器上	在 Linux 虛擬機器上安裝 Azure 安全性代理程式，以監視機器的安全性設定以及是否有弱點。評量的結果可以在 Azure 資訊安全中心查看和管理。	AuditIfNotExists, Disabled	2.0.0-preview
[預覽]：Azure 安全性代理程式應安裝在 Windows Arc 機器上	在 Windows Arc 機器上安裝 Azure 安全性代理程式，以監視機器的安全性設定以及是否有弱點。評量的結果可以在 Azure 資訊安全中心查看和管理。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：Azure 安全性代理程式應安裝在 Windows 虛擬機器擴展集上	在 Windows 虛擬機器擴展集上安裝 Azure 安全性代理程式，以監視機器的安全性設定以及是否有弱點。評量的結果可以在 Azure 資訊安全中心查看和管理。	AuditIfNotExists, Disabled	2.1.0-preview
[預覽]：Azure 安全性代理程式應安裝在 Windows 虛擬機器上	在 Windows 虛擬機器上安裝 Azure 安全性代理程式，以監視機器的安全性設定以及是否有弱點。評量的結果可以在 Azure 資訊安全中心查看和管理。	AuditIfNotExists, Disabled	2.1.0-preview
[預覽]：ChangeTracking 延伸模組應安裝在 Linux Arc 機器上	在 Linux Arc 機器上安裝 ChangeTracking 延伸模組，以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：ChangeTracking 延伸模組應安裝在 Linux 虛擬機器上	在 Linux 虛擬機器上安裝 ChangeTracking 延伸模組，以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。	AuditIfNotExists, Disabled	2.0.0-preview
[預覽]：ChangeTracking 延伸模組應安裝在 Linux 虛擬機器擴展集上	在 Linux 虛擬機器擴展集上安裝 ChangeTracking 延伸模組，以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。	AuditIfNotExists, Disabled	2.0.0-preview
[預覽]：ChangeTracking 延伸模組應安裝在 Windows Arc 機器上	在 Windows Arc 機器上安裝 ChangeTracking 延伸模組，以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：ChangeTracking 延伸模組應安裝在 Windows 虛擬機器上	在 Windows 虛擬機器上安裝 ChangeTracking 延伸模組，以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。	AuditIfNotExists, Disabled	2.0.0-preview
[預覽]：ChangeTracking 延伸模組應安裝在 Windows 虛擬機器擴展集上	在 Windows 虛擬機器擴展集上安裝 ChangeTracking 延伸模組，以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。	AuditIfNotExists, Disabled	2.0.0-preview
[預覽]：在虛擬機器上設定適用於 SQL 的 Azure Defender 代理程式	設定 Windows 機器，在已安裝 Azure 監視器代理程式的位置，自動安裝適用於 SQL 的 Azure Defender 代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。在與機器相同的區域中建立資源群組和 Log Analytics 工作區。目標虛擬機器必須位於支援的位置。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：針對 Linux Arc 機器設定 ChangeTracking 延伸模組	設定 Linux Arc 機器以自動安裝 ChangeTracking 延伸模組，在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：針對 Linux 虛擬機器擴展集設定 ChangeTracking 延伸模組	設定 Linux 虛擬機器擴展集以自動安裝 ChangeTracking 延伸模組，在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：針對 Linux 虛擬機器設定 ChangeTracking 延伸模組	設定 Linux 虛擬機器以自動安裝 ChangeTracking 延伸模組，在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：針對 Windows Arc 機器設定 ChangeTracking 延伸模組	設定 Windows Arc 機器以自動安裝 ChangeTracking 延伸模組，在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：針對 Windows 虛擬機器擴展集設定 ChangeTracking 延伸模組	設定 Windows 虛擬機器擴展集以自動安裝 ChangeTracking 延伸模組，在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：針對 Windows 虛擬機器設定 ChangeTracking 延伸模組	設定 Windows 虛擬機器以自動安裝 ChangeTracking 延伸模組，在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：設定支援的 Linux Arc 機器以自動安裝 Azure 安全性代理程式	設定支援的 Linux Arc 機器以自動安裝 Azure 安全性代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。目標 Linux Arc 機器必須位於支援的位置。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：設定支援的 Linux 虛擬機器擴展集以自動安裝 Azure 安全性代理程式	設定支援的 Linux 虛擬機器擴展集以自動安裝 Azure 安全性代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。目標虛擬機器必須位於支援的位置。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：設定受支援的 Linux 虛擬機器擴展集以自動安裝來賓證明延伸模組	設定受支援的 Linux 虛擬機器擴展集以自動安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明及監視開機完整性。透過遠端證明來證明開機完整性。	DeployIfNotExists, Disabled	6.1.0-preview
[預覽]：設定受支援的 Linux 虛擬機器以自動啟用安全開機	設定支援的 Linux 虛擬機器，以自動啟用安全開機，減輕對開機鏈結的惡意和未經授權變更。啟用之後，只允許受信任的開機載入器、核心和核心驅動程式執行。	DeployIfNotExists, Disabled	5.0.0-preview
[預覽]：設定支援的 Linux 虛擬機器以自動安裝 Azure 安全性代理程式	將受支援的 Linux 虛擬機器設定為會自動安裝 Azure 安全性代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。目標虛擬機器必須位於支援的位置。	DeployIfNotExists, Disabled	7.0.0-preview
[預覽]：設定受支援的 Linux 虛擬機器以自動安裝來賓證明延伸模組	設定受支援的 Linux 虛擬機器以自動安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明及監視開機完整性。透過遠端證明來證明開機完整性。	DeployIfNotExists, Disabled	7.1.0-preview
[預覽]：設定受支援的虛擬機器以自動啟用 vTPM	將受支援的虛擬機器設定為自動啟用vTPM，以協助測量開機及其他需要 TPM 的 OS 安全性功能。啟用之後，vTPM 即可用於證明開機完整性。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：設定受支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式	設定支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。目標 Windows Arc 機器必須位於支援的位置。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽]：設定受支援的 Windows 機器以自動安裝 Azure 安全性代理程式	將受支援的 Windows 電腦設定為會自動安裝 Azure 安全性代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。目標虛擬機器必須位於支援的位置。	DeployIfNotExists, Disabled	5.1.0-預覽版
[預覽]：設定支援的 Windows 虛擬機器擴展集以自動安裝 Azure 安全性代理程式	設定支援的 Windows 虛擬機器擴展集以自動安裝 Azure 安全性代理程式。資訊安全中心會從代理程式收集事件，並且用來提供安全性警示和量身打造的強化工作 (建議)。目標 Windows 虛擬機器擴展集必須位於支援的位置。	DeployIfNotExists, Disabled	2.1.0-preview
[預覽]：設定受支援的 Windows 虛擬機器擴展集以自動安裝來賓證明延伸模組	設定受支援的 Windows 虛擬機器擴展集以自動安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明及監視開機完整性。透過遠端證明來證明開機完整性。	DeployIfNotExists, Disabled	4.1.0-preview
[預覽]：設定受支援的 Windows 虛擬機器以自動啟用安全開機	設定支援的 Windows 虛擬機器，以自動啟用安全開機，減輕對開機鏈結的惡意和未經授權變更。啟用之後，只允許受信任的開機載入器、核心和核心驅動程式執行。	DeployIfNotExists, Disabled	3.0.0-preview
[預覽]：設定受支援的 Windows 虛擬機器以自動安裝來賓證明延伸模組	設定受支援的 Windows 虛擬機器以自動安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明及監視開機完整性。透過遠端證明來證明開機完整性。	DeployIfNotExists, Disabled	5.1.0-預覽版
[預覽]：設定使用「共用映像庫」映像所建立的 VM，以安裝來賓證明延伸模組	設定使用「共用映像庫」映像所建立的虛擬機器，以自動安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明及監視開機完整性。透過遠端證明來證明開機完整性。	DeployIfNotExists, Disabled	2.0.0-preview
[預覽]：設定使用「共用映像庫」映像所建立的 VMSS，以安裝來賓證明延伸模組	設定使用「共用映像庫」映像所建立的 VMSS，以自動安裝來賓證明延伸模組，允許 Azure 資訊安全中心主動證明及監視開機完整性。透過遠端證明來證明開機完整性。	DeployIfNotExists, Disabled	2.1.0-preview
[預覽]：在 Linux 混合機器上部署適用於端點的 Microsoft Defender 代理程式	在 Linux 混合式機器上部署適用於端點的 Microsoft Defender 代理程式	DeployIfNotExists、AuditIfNotExists、Disabled	2.0.1-preview
[預覽]：在 Linux 虛擬機器上部署適用於端點的 Microsoft Defender 代理程式	在適用的 Linux VM 映像上部署適用於端點的 Microsoft Defender 代理程式。	DeployIfNotExists、AuditIfNotExists、Disabled	3.0.0-preview
[預覽]：在 Windows Azure Arc 機器上部署適用於端點的 Microsoft Defender 代理程式	在 Windows Azure Arc 機器上部署適用於端點的 Microsoft Defender。	DeployIfNotExists、AuditIfNotExists、Disabled	2.0.1-preview
[預覽]：在 Windows 虛擬機器上部署適用於端點的 Microsoft Defender 代理程式	在適用的 Windows VM 映像上部署適用於端點的 Microsoft Defender。	DeployIfNotExists、AuditIfNotExists、Disabled	2.0.1-preview
[預覽]：應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組	在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明和監視開機完整性。安裝之後，將會透過遠端證明來證明開機完整性。此評量適用於可信啟動和機密 Linux 虛擬機器。	AuditIfNotExists, Disabled	6.0.0-preview
[預覽]：應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組	在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明和監視開機完整性。安裝之後，將會透過遠端證明來證明開機完整性。此評量適用於可信啟動和機密 Linux 虛擬機器擴展集。	AuditIfNotExists, Disabled	5.1.0-預覽版
[預覽]：應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組	在受支援的虛擬機器上安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明和監視開機完整性。安裝之後，將會透過遠端證明來證明開機完整性。此評量適用於可信啟動和機密 Windows 虛擬機器。	AuditIfNotExists, Disabled	4.0.0-preview
[預覽]：應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組	在受支援的虛擬機器擴展集上安裝來賓證明延伸模組，以允許 Azure 資訊安全中心主動證明和監視開機完整性。安裝之後，將會透過遠端證明來證明開機完整性。此評量適用於可信啟動和機密 Windows 虛擬機器擴展集。	AuditIfNotExists, Disabled	3.1.0-preview
[預覽]：Linux 虛擬機器應該只會使用已簽署和受信任的開機元件	所有 OS 開機元件 (開機載入器、核心、核心驅動程式) 都必須由信任的發行者簽署。適用於雲端的 Defender 已在一或多部 Linux 電腦上識別出不受信任的作業系統開機元件。若要保護機器防範潛在的惡意元件，請將這些元件新增至允許清單或移除已識別的元件。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：Linux 虛擬機器應該使用安全開機	若要防止安裝惡意程式碼型 Rootkit 和開機套件，請在支援的 Linux 虛擬機器上啟用安全開機。安全開機可確保只允許執行已簽署的作業系統和驅動程式。此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：機器應該關閉可能會公開攻擊媒介的連接埠	Azure 的使用規定禁止以可能會損毀、停用、過度負載或損害任何 Microsoft 伺服器或網路的方式來使用 Azure 服務。此建議所識別的公開連接埠必須關閉，才能繼續保有安全性。針對每個已識別的連接埠，建議也會提供潛在威脅的說明。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：應在受支援的 Windows 虛擬機器上啟用安全開機	在支援的 Windows 虛擬機器上啟用安全開機，以減輕對開機鏈結的惡意和未經授權變更。啟用之後，只允許受信任的開機載入器、核心和核心驅動程式執行。此評量適用於可信啟動和機密 Windows 虛擬機器。	Audit, Disabled	4.0.0-preview
[預覽]：虛擬機器來賓證明狀態應該狀況良好	來賓證明是藉由將信任的記錄 (TCGLog) 傳送至證明伺服器來執行。伺服器會使用這些記錄來判斷開機元件是否值得信任。此評量旨在偵測開機鏈結是否遭到危害，這可能是 Bootkit 或 Rootkit 感染的結果。此評量僅適用於已安裝來賓證明延伸模組的已啟用可信啟動虛擬機器。	AuditIfNotExists, Disabled	1.0.0-preview
[預覽]：應在受支援的虛擬機器上啟用 vTPM	在受支援的虛擬機器上啟用虛擬 TPM 裝置，以輔助測量開機和需要 TPM 的其他 OS 安全性功能。啟用之後，vTPM 即可用於證明開機完整性。此評量僅適用於已啟用可信啟動的虛擬機器。	Audit, Disabled	2.0.0-preview
應針對您的訂用帳戶指定最多 3 位擁有者	建議您最多指定 3 位訂用帳戶擁有者，以降低遭入侵擁有者導致資料外洩的可能。	AuditIfNotExists, Disabled	3.0.0
虛擬機器上應啟用弱點評估解決方案	稽核虛擬機器，以偵測其是否正在執行支援的弱點評估解決方案。每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點，不需額外費用。此外，資訊安全中心可以自動為您部署此工具。	AuditIfNotExists, Disabled	3.0.0
對 Azure 資源具有擁有者權限的帳戶應啟用 MFA	具備擁有者權限的所有訂用帳戶，均應啟用多重要素驗證 (MFA)，以避免發生帳戶或資源資料外洩。	AuditIfNotExists, Disabled	1.0.0
對 Azure 資源具有讀取權限的帳戶應啟用 MFA	具備讀取權限的所有訂用帳戶，均應啟用多重要素驗證 (MFA)，以避免發生帳戶或資源資料外洩。	AuditIfNotExists, Disabled	1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA	具備寫入權限的所有訂用帳戶，均應啟用多重要素驗證 (MFA)，以避免發生帳戶或資源資料外洩。	AuditIfNotExists, Disabled	1.0.0
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組	Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。輸入規則不應允許來自「任何」或「網際網路」範圍的存取。這可能會讓攻擊者鎖定您的資源。	AuditIfNotExists, Disabled	3.0.0
Azure APIM 中的 API 端點應經過驗證	在 Azure APIM 內發佈的 API 端點應強制執行驗證，以協助將安全性風險降到最低。驗證機制的實作有時會不正確或遺失。這會讓攻擊者能夠利用實作缺陷以及存取資料。請在此深入了解損毀的使用者驗證的 OWASP API 威脅：https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication	AuditIfNotExists, Disabled	1.0.1
應停用或從 Azure APIM 服務中移除未使用的 API 端點	安全性最佳做法是，將已有 30 天未收到流量的 API 端點視為未使用，並應將其從 Azure APIM 服務中移除。保留未使用的 API 端點可能會對組織造成安全性風險。這些 API 可能是應該已從 Azure APIM 服務中淘汰，卻可能不小心還保持作用中狀態的 API。這類 API 通常不會收到最新的安全性涵蓋範圍。	AuditIfNotExists, Disabled	1.0.1
Kubernetes Services 上應定義授權 IP 範圍	僅將 API 存取權授與特定範圍內的 IP 位址，以限制對 Kubernetes Service 管理 API 的存取。建議僅限存取授權 IP 範圍，以確保只有來自允許網路的應用程式可以存取叢集。	Audit, Disabled	2.0.1
應啟用 Azure DDoS 保護	所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道，就應啟用 DDoS 保護。	AuditIfNotExists, Disabled	3.0.1
應啟用適用於 App Service 的 Azure Defender	適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野，監視常見的 Web 應用程式攻擊。	AuditIfNotExists, Disabled	1.0.3
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender	適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能，以偵測可能對 SQL 資料庫造成威脅的異常活動，以及探索並分類敏感性資料。	AuditIfNotExists, Disabled	1.0.2
應啟用適用於 Key Vault 的 Azure Defender	適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅，提供一層額外的保護和安全情報。	AuditIfNotExists, Disabled	1.0.3
應啟用適用於開放原始碼關聯式資料庫的 Azure Defender	適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫，並可能造成損害的異常活動。造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。重要：啟用此方案保護您的開放原始碼關係資料庫將會產生費用。造訪資訊安全中心的價格頁面深入了解價格：https://aka.ms/pricing-security-center	AuditIfNotExists, Disabled	1.0.0
應啟用適用於 Resource Manager 的 Azure Defender	適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅，並警示您可疑的活動。造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。啟用此 Azure Defender 方案會產生費用。在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料：https://aka.ms/pricing-security-center。	AuditIfNotExists, Disabled	1.0.0
應啟用適用於伺服器的 Azure Defender	適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護，並產生強化建議與可疑活動警示。	AuditIfNotExists, Disabled	1.0.3
應啟用適用於機器上 SQL 伺服器的 Azure Defender	適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能，以偵測可能對 SQL 資料庫造成威脅的異常活動，以及探索並分類敏感性資料。	AuditIfNotExists, Disabled	1.0.2
應為未受保護的 MySQL 彈性伺服器啟用適用於 SQL 的 Azure Defender	在沒有「進階資料安全性」的情況下稽核 MySQL 彈性伺服器	AuditIfNotExists, Disabled	1.0.0
應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender	在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器	AuditIfNotExists, Disabled	1.0.0
Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)	容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE)，並提供每個映像的詳細弱點報告。解決弱點可大幅改善您的安全性態勢，確保映像可安全使用再進行部署。	AuditIfNotExists, Disabled	1.0.1
Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)	容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE)，並提供每個映像的詳細弱點報告。此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵，可大幅降低容器化工作負載的受攻擊面。	AuditIfNotExists, Disabled	1.0.1
應移除對 Azure 資源具有擁有者權限的已封鎖帳戶	具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。已取代帳戶是已封鎖而無法登入的帳戶。	AuditIfNotExists, Disabled	1.0.0
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除	已取代帳戶應該從您的訂用帳戶中移除。已取代帳戶是已封鎖而無法登入的帳戶。	AuditIfNotExists, Disabled	1.0.0
應安全地設定雲端服務 (延伸支援) 角色執行個體	確認您的雲端服務 (延伸支援) 角色執行個體未暴露任何 OS 弱點，以保護其免於遭受攻擊。	AuditIfNotExists, Disabled	1.0.0
雲端服務 (延伸支援) 角色執行個體應安裝 Endpoint Protection 解決方案	確認已安裝 Endpoint Protection 解決方案，以保護您的雲端服務 (延伸支援) 角色執行個體免於威脅與弱點。	AuditIfNotExists, Disabled	1.0.0
雲端服務 (延伸支援) 角色執行個體應安裝系統更新	確認已安裝最新的安全性與重大更新，以保護您的雲端服務 (延伸支援) 角色執行個體。	AuditIfNotExists, Disabled	1.0.0
設定在適用於 MySQL 的 Azure 資料庫彈性伺服器上啟用進階威脅防護	在適用於 MySQL 的 Azure 資料庫彈性伺服器上啟用進階威脅防護，以偵測異常活動，進而指出異常且可能有害的嘗試存取或利用資料庫情形。	DeployIfNotExists, Disabled	1.0.0
設定要在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器上啟用的進階威脅防護	在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器上啟用進階威脅防護，以偵測異常活動，進而指出異常且可能有害的嘗試存取或利用資料庫情形。	DeployIfNotExists, Disabled	1.1.0
設定已啟用 Arc 的 SQL Server 以自動安裝 Azure 監視器代理程式	自動在已啟用 Windows Arc 的 SQL Server 上部署 Azure 監視器代理程式延伸模組。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.3.0
設定已啟用 Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender	設定已啟用 Windows Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender 代理程式。適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。	DeployIfNotExists, Disabled	1.2.0
設定已啟用 Arc 的 SQL Server 以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender	適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。在與機器相同的區域中，建立資源群組、資料收集規則和 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.5.0
設定已啟用 Arc 的 SQL Server 以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender	適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。	DeployIfNotExists, Disabled	1.7.0
使用與適用於 SQL DCR 的 Microsoft Defender 的資料收集規則關聯來設定已啟用 Arc 的 SQL Server	設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 之間的關聯。刪除此關聯將會中斷此已啟用 Arc 的 SQL Server 的安全性弱點偵測。	DeployIfNotExists, Disabled	1.1.0
使用與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 的資料收集規則關聯來設定已啟用 Arc 的 SQL Server	設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 之間的關聯。刪除此關聯將會中斷此已啟用 Arc 的 SQL Server 的安全性弱點偵測。	DeployIfNotExists, Disabled	1.3.0
設定要啟用之適用於 App Service 的 Azure Defender	適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野，監視常見的 Web 應用程式攻擊。	DeployIfNotExists, Disabled	1.0.1
設定要啟用的適用於 Azure SQL 資料庫的 Azure Defender	適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能，以偵測可能對 SQL 資料庫造成威脅的異常活動，以及探索並分類敏感性資料。	DeployIfNotExists, Disabled	1.0.1
設定要啟用的適用於開放原始碼關聯式資料庫的 Azure Defender	適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫，並可能造成損害的異常活動。造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。重要：啟用此方案保護您的開放原始碼關係資料庫將會產生費用。造訪資訊安全中心的價格頁面深入了解價格：https://aka.ms/pricing-security-center	DeployIfNotExists, Disabled	1.0.0
設定要啟用的適用於 Resource Manager 的 Azure Defender	適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅，並警示您可疑的活動。造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。啟用此 Azure Defender 方案會產生費用。在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料：https://aka.ms/pricing-security-center。	DeployIfNotExists, Disabled	1.1.0
設定要啟用的適用於伺服器的 Azure Defender	適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護，並產生強化建議與可疑活動警示。	DeployIfNotExists, Disabled	1.0.1
設定要啟用的適用於機器上 SQL 伺服器的 Azure Defender	適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能，以偵測可能對 SQL 資料庫造成威脅的異常活動，以及探索並分類敏感性資料。	DeployIfNotExists, Disabled	1.0.1
設定要啟用的基本適用於儲存體的 Microsoft Defender (僅限活動監視)	適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級，用於偵測儲存體帳戶中的潛在威脅。此原則會啟用基本適用於儲存體的 Defender 功能 (活動監視)。若要啟用完整保護，其中也包含上傳惡意程式碼掃描和敏感性資料威脅偵測，請使用完整啟用原則：aka.ms/DefenderForStoragePolicy。若要深入了解適用於儲存體的 Defender 功能和優點，請造訪 aka.ms/DefenderForStorage。	DeployIfNotExists, Disabled	1.1.0
設定機器以接收弱點評定提供者	Azure Defender 包含機器的弱點掃描，不需額外費用。您不需要 Qualys 授權或 Qualys 帳戶，一切都可以在資訊安全中心內流暢進行。當您啟用此原則時，Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。	DeployIfNotExists, Disabled	4.0.0
設定 Microsoft Defender CSPM 方案	Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表，以協助識別、排定優先順序及降低風險。除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外，還有 Defender CSPM 可供使用。	DeployIfNotExists, Disabled	1.0.0
設定要啟用的 Microsoft Defender CSPM	Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表，以協助識別、排定優先順序及降低風險。除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外，還有 Defender CSPM 可供使用。	DeployIfNotExists, Disabled	1.0.2
設定要啟用的適用於 Azure Cosmos DB 的 Microsoft Defender	適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級，可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式，以及透過遭入侵身分識別或惡意測試人員，偵測潛在的 SQL 插入、已知的不良執行者。	DeployIfNotExists, Disabled	1.0.0
設定適用於容器的 Microsoft Defender 方案	新功能會持續新增至適用於容器的 Defender 方案，這可能需要使用者的明確啟用。使用此原則可確保所有新功能都會啟用。	DeployIfNotExists, Disabled	1.0.0
設定要啟用的適用於容器的 Microsoft Defender	適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。	DeployIfNotExists, Disabled	1.0.1
使用適用於雲端的 Microsoft Defender (WDATP_EXCLUDE_LINUX...) 設定適用於端點的 Microsoft Defender 整合設定	在適用於雲端的 Microsoft Defender (也稱為 WDATP_EXCLUDE_LINUX_...) 內設定適用於端點的 Microsoft Defender 整合設定，以啟用適用於 Linux 伺服器的 MDE 的自動佈建。必須開啟 WDATP 設定，才能套用此設定。如需相關資訊，請參閱 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。	DeployIfNotExists, Disabled	1.0.0
使用適用於雲端的 Microsoft Defender (WDATP_UNIFIED_SOLUTION) 設定適用於端點的 Microsoft Defender 整合設定	在適用於雲端的 Microsoft Defender (也稱為 WDATP_UNIFIED_SOLUTION) 內設定適用於端點的 Microsoft Defender 整合設定，以啟用適用於 Windows Server 2012R2 和 2016 的 MDE 統一代理程式的自動佈建。必須開啟 WDATP 設定，才能套用此設定。如需相關資訊，請參閱 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。	DeployIfNotExists, Disabled	1.0.0
使用適用於雲端的 Microsoft Defender (WDATP) 設定適用於端點的 Microsoft Defender 整合設定	在適用於雲端的 Microsoft Defender (也稱為 WDATP) 內設定適用於端點的 Microsoft Defender 整合設定，讓 Windows 舊版機器透過 MMA 上線到 MDE，並且在 Windows Server 2019、Windows 虛擬桌面和更新版本上自動佈建 MDE。必須開啟，其他設定 (WDATP_UNIFIED 等等) 才能運作。如需相關資訊，請參閱 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。	DeployIfNotExists, Disabled	1.0.0
設定適用於 Key Vault 的 Microsoft Defender 方案	適用於 Key Vault 的 Microsoft Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅，提供一層額外的保護和安全情報。	DeployIfNotExists, Disabled	1.1.0
設定適用於伺服器的 Microsoft Defender 方案	新功能會持續新增至適用於伺服器的 Defender 方案，這可能需要使用者的明確啟用。使用此原則可確保所有新功能都會啟用。	DeployIfNotExists, Disabled	1.0.0
將適用於 SQL 的 Microsoft Defender 設定為在 Synapse 工作區上啟用	在 Azure Synapse 工作區上啟用適用於 SQL 的 Microsoft Defender，以偵測異常活動，指出異常且可能有害的嘗試存取或利用 SQL 資料庫。	DeployIfNotExists, Disabled	1.0.0
設定要啟用的適用於儲存體的 Microsoft Defender (傳統)	適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。	DeployIfNotExists, Disabled	1.0.2
設定要啟用的適用於儲存體的 Microsoft Defender	適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級，用於偵測儲存體帳戶中的潛在威脅。此原則會啟用所有適用於儲存體的 Defender 功能；活動監視、惡意程式碼掃描和敏感性資料威脅偵測。若要深入了解適用於儲存體的 Defender 功能和優點，請造訪 aka.ms/DefenderForStorage。	DeployIfNotExists, Disabled	1.4.0
為 AI 工作負載設定 Microsoft Defender 威脅防護	新功能會持續新增至 AI 工作負載的威脅防護，這可能需要使用者的明確啟用。使用此原則可確保所有新功能都會啟用。	DeployIfNotExists, Disabled	1.0.0
設定 SQL 虛擬機器以自動安裝 Azure 監視器代理程式	自動在 Windows SQL 虛擬機器上部署 Azure 監視器代理程式延伸模組。深入了解：https://aka.ms/AMAOverview。	DeployIfNotExists, Disabled	1.5.0
設定 SQL 虛擬機器以自動安裝適用於 SQL 的 Microsoft Defender	設定 Windows SQL 虛擬機器以自動安裝適用於 SQL 的 Microsoft Defender 延伸模組。適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。	DeployIfNotExists, Disabled	1.5.0
設定 SQL 虛擬機器以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender	適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。在與機器相同的區域中，建立資源群組、資料收集規則和 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.7.0
設定 SQL 虛擬機器以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender	適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。	DeployIfNotExists, Disabled	1.8.0
設定適用於 SQL 的 Microsoft Defender 的 Log Analytics 工作區	適用於 SQL 的 Microsoft Defender 會從代理程式收集事件，並將其用來提供安全性警示和量身訂作的強化工作 (建議)。在與機器相同的區域中建立資源群組和 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.4.0
建立及指派內建使用者指派的受控識別	大規模建立內建使用者指派的受控識別，並指派至 SQL 虛擬機器。	AuditIfNotExists、DeployIfNotExists、Disabled	1.7.0
部署 - 設定 Azure 資訊安全中心警示的隱藏規則	為您的管理群組或訂閱部署隱藏規則，以隱藏 Azure 資訊安全中心警示，避免警示疲乏。	deployIfNotExists	1.0.0
針對適用於雲端的 Microsoft Defender 資料，以信任的服務形式將匯出部署至事件中樞	將適用於雲端的 Microsoft Defender 資料以信任的服務形式匯出至事件中樞。此原則會在指派的範圍內，使用您的條件和目標事件中樞，以信任的服務組態形式將匯出部署至事件中樞。若要在新建立的訂用帳戶上部署此原則，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	DeployIfNotExists, Disabled	1.0.0
針對適用於雲端的 Microsoft Defender 資料將匯出部署至事件中樞	啟用將適用於雲端的 Microsoft Defender 資料匯出至事件中樞。此原則會在指派的範圍內，使用您的條件和目標事件中樞，部署匯出至事件中樞設定。若要在新建立的訂用帳戶上部署此原則，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	deployIfNotExists	4.2.0
針對適用於雲端的 Microsoft Defender 資料部署匯出至 Log Analytics 工作區的功能	啟用將適用於雲端的 Microsoft Defender 資料匯出至 Log Analytics 工作區。此原則會在指派的範圍內，使用您的條件和目標工作區，部署匯出至 Log Analytics 工作區設定。若要在新建立的訂用帳戶上部署此原則，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	deployIfNotExists	4.1.0
針對適用於雲端的 Microsoft Defender 警示來部署工作流程自動化	啟用將適用於雲端的 Microsoft Defender 警示自動化。此原則會在指派的範圍內，使用您的條件和觸發程序，來部署工作流程自動化。若要在新建立的訂用帳戶上部署此原則，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	deployIfNotExists	5.0.1
針對適用於雲端的 Microsoft Defender 建議來部署工作流程自動化	啟用將適用雲端的 Microsoft Defender 建議自動化。此原則會在指派的範圍內，使用您的條件和觸發程序，來部署工作流程自動化。若要在新建立的訂用帳戶上部署此原則，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	deployIfNotExists	5.0.1
針對適用於雲端的 Microsoft Defender 法規合規性部署工作流程自動化	啟用將適用於雲端的 Microsoft Defender 法規合規性自動化。此原則會在指派的範圍內，使用您的條件和觸發程序，來部署工作流程自動化。若要在新建立的訂用帳戶上部署此原則，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	deployIfNotExists	5.0.1
應針對高嚴重性警示啟用電子郵件通知	為確保在您的其中一個訂用帳戶有潛在安全性缺口時，您組織中的相關人員會收到通知，請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。	AuditIfNotExists, Disabled	1.2.0
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知	為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知，請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。	AuditIfNotExists, Disabled	2.1.0
在您的訂閱上啟用適用於雲端的 Microsoft Defender	識別未受適用於雲端的 Microsoft Defender 監視的現有訂閱，並使用適用於雲端的 Defender 免費功能保護這些訂閱。已受監視的訂閱則視為符合規範。若要註冊新建立的訂閱，請開啟 [合規性] 索引標籤，選取不符合規範的相關指派，並建立補救工作。	deployIfNotExists	1.0.1
使用自訂工作區，讓資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式。	允許資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式，以使用自訂的工作區監視及收集安全性資料。	DeployIfNotExists, Disabled	1.0.0
使用預設工作區，讓資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式。	允許資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式，以使用 ASC 預設工作區監視及收集安全性資料。	DeployIfNotExists, Disabled	1.0.0
為 AI 工作負載啟用威脅防護。	適用於 AI 工作負載的 Microsoft 威脅防護提供內容化、以證據為基礎的安全性警示，旨在保護本身的生成式 AI 支援應用程式	DeployIfNotExists, Disabled	1.0.0
應解決您機器上端點保護健康情況的問題	解決虛擬機器上的端點保護健康情況問題，以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。	AuditIfNotExists, Disabled	1.0.0
您的機器上應安裝端點保護	若要保護您的機器免於威脅和弱點的侵害，請安裝支援的端點保護解決方案。	AuditIfNotExists, Disabled	1.0.0
應在虛擬機器擴展集上安裝端點保護解決方案	稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態，以免其遭受威脅及弱點的傷害。	AuditIfNotExists, Disabled	3.0.0
應移除對 Azure 資源具有擁有者權限的來賓帳戶	具有擁有者權限的外部帳戶應從您訂用帳戶移除，以避免未受監視的存取。	AuditIfNotExists, Disabled	1.0.0
具有 Azure 資源讀取權限的來賓帳戶應移除	請移除您訂用帳戶中，具有讀取權限的外部帳戶，以避免出現未受監視的存取。	AuditIfNotExists, Disabled	1.0.0
具有 Azure 資源寫入權限的來賓帳戶應移除	請移除您訂用帳戶中，具有寫入權限的外部帳戶，以避免出現未受監視的存取。	AuditIfNotExists, Disabled	1.0.0
應在您的電腦上安裝來賓設定延伸模組	若要確保電腦來賓內設定的安全設定，請安裝來賓設定延伸模組。延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態，以及環境設定。安裝後便可使用客體內原則，例如「應啟用 Windows 惡意探索防護」。深入了解：https://aka.ms/gcpol。	AuditIfNotExists, Disabled	1.0.3
應使用網路安全性群組保護網際網路對應的虛擬機器	使用網路安全性群組 (NSG) 限制對虛擬機器的存取，以保護您的虛擬機器遠離潛在威脅。若要深入了解如何使用 NSG 控制流量，請造訪 https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
應停用虛擬機器上的 IP 轉送	在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如，當將 VM 作為網路虛擬設備使用時)，因此，這應經過網路安全性小組檢閱。	AuditIfNotExists, Disabled	3.0.0
Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本	將您的 Kubernetes 服務叢集升級為較新的 Kubernetes 版本，以防禦您目前 Kubernetes 版本中的已知弱點。 Kubernetes 版本 1.11.9 +、1.12.7+、1.13.5+ 及 1.14.0+ 中已修補弱點 CVE-2019-9946	Audit, Disabled	1.0.2
Log Analytics 代理程式應安裝於您的雲端服務 (延伸支援) 角色執行個體	資訊安全中心會從您的雲端服務 (延伸支援) 角色執行個體收集資料，以監視是否存在安全性弱點及威脅。	AuditIfNotExists, Disabled	2.0.0
電腦上應已解決發現的祕密	稽核虛擬機器，以從虛擬機器上的祕密掃描解決方案偵測其是否包含發現的祕密。	AuditIfNotExists, Disabled	1.0.2
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠	Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取	AuditIfNotExists, Disabled	3.0.0
應關閉虛擬機器上的管理連接埠	開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。這些攻擊會嘗試對認證發動暴力密碼破解攻擊，來取得機器的系統管理員存取權。	AuditIfNotExists, Disabled	3.0.0
應啟用 Microsoft Defender CSPM	Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表，以協助識別、排定優先順序及降低風險。除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外，還有 Defender CSPM 可供使用。	AuditIfNotExists, Disabled	1.0.0
應啟用適用於 API 的 Microsoft Defender	適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍，以監視常見的 API 型攻擊和安全性設定錯誤。	AuditIfNotExists, Disabled	1.0.3
應啟用適用於 Azure Cosmos DB 的 Microsoft Defender	適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級，可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式，以及透過遭入侵身分識別或惡意測試人員，偵測潛在的 SQL 插入、已知的不良執行者。	AuditIfNotExists, Disabled	1.0.0
應啟用適用於容器的 Microsoft Defender	適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。	AuditIfNotExists, Disabled	1.0.0
應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender	啟用適用於 SQL 的 Defender 保護 Synapse 工作區。適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動，這可指出異常且可能有害的存取或惡意探索資料庫嘗試。	AuditIfNotExists, Disabled	1.0.0
應為已啟用 Arc 的 SQL Servers 保護適用於 SQL 的 Microsoft Defender 狀態	適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能，以偵測可能對 SQL 資料庫造成威脅的異常活動，以及探索並分類敏感性資料。啟用之後，保護狀態會指出資源已受到主動監視。即使是已啟用 Defender 時，也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定，以確保主動保護。	Audit, Disabled	1.0.1
應該啟用適用於儲存體的 Microsoft Defender	適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。這有助於防止資料和工作負載受到三大影響：惡意檔案上傳、敏感性資料外流和資料損毀。新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。此方案也提供可預測的價格結構 (每一儲存體帳戶)，以控制涵蓋範圍和成本。	AuditIfNotExists, Disabled	1.0.0
在 Azure 資訊安全中心中監視缺少的 Endpoint Protection	Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器	AuditIfNotExists, Disabled	3.0.0
應使用網路安全性群組保護非網際網路對應的虛擬機器	使用網路安全性群組 (NSG) 限制存取，以保護您非網際網路對應的虛擬機器遠離潛在威脅。若要深入了解如何使用 NSG 控制流量，請造訪 https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
應在 Kubernetes 服務上使用角色型存取控制 (RBAC)	若要提供使用者可執行之動作的精細篩選，請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限，並設定相關的授權原則。	Audit, Disabled	1.0.4
應選取資訊安全中心標準定價層	標準定價層會為網路及虛擬機器啟用威脅偵測，在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析	Audit, Disabled	1.1.0
設定訂用帳戶以轉換至替代弱點評量解決方案	適用於雲端的 Microsoft Defender 提供機器的弱點掃描，不需額外費用。啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。	DeployIfNotExists, Disabled	1.0.0-preview
SQL 資料庫應已解決發現的弱點	監視弱點評量掃描結果及如何補救資料庫弱點的建議。	AuditIfNotExists, Disabled	4.1.0
應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建	為了確保 SQL VM 和已啟用 Arc 的 SQL Server 受到保護，請確定以 SQL 為目標的 Azure 監視代理程式已設定為會自動部署。如果您先前已設定 Microsoft Monitoring Agent 的自動佈建，因為該元件已被取代，因此必須要這麼做。深入了解：https://aka.ms/SQLAMAMigration	AuditIfNotExists, Disabled	1.0.0
機器上的 SQL Server 應已解決發現的弱點	SQL 弱點評估會掃描您的資料庫以尋找安全性弱點，並顯示與最佳做法不符的偏差動作，例如設定錯誤、過度授權或未保護敏感性資料。解決找到的弱點可以大幅改進資料庫的安全性態勢。	AuditIfNotExists, Disabled	1.0.0
子網路應該與網路安全性群組建立關聯	使用網路安全性群組 (NSG) 限制 VM 的存取，保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單，可允許或拒絕子網路的網路流量。	AuditIfNotExists, Disabled	3.0.0
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題	為確保在您的其中一個訂用帳戶有潛在安全性缺口時，您組織中的相關人員會收到通知，請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。	AuditIfNotExists, Disabled	1.0.1
應在您的機器上安裝系統更新 (由更新中心提供)	您的機器缺少系統、安全性和重大更新。軟體更新通常包含安全性漏洞的重大修補檔。這類漏洞經常遭到惡意程式碼攻擊，因此請務必讓軟體保持更新。若要安裝所有未安裝的修補檔並保護您的機器，請遵循補救步驟。	AuditIfNotExists, Disabled	1.0.1
應將一個以上的擁有者指派給您的訂用帳戶	建議指定多位訂用帳戶擁有者，如此才能設定系統管理員存取備援。	AuditIfNotExists, Disabled	3.0.0
應使用系統指派的受控識別，部署虛擬機器的來賓設定延伸模組	來賓設定擴充功能需要系統指派的受控識別。安裝客體設定延伸模組但是沒有系統指派受控識別時，此原則範圍內的 Azure 虛擬機器將會不符合規範。深入了解：https://aka.ms/gcpol	AuditIfNotExists, Disabled	1.0.1
您應在機器上修復安全性組態的弱點	Azure 資訊安全中心會依建議監視不符合設定基準的伺服器	AuditIfNotExists, Disabled	3.1.0

資訊安全中心 - 細微價格

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
設定適用於伺服器的 Azure Defender 針對所有資源 (資源層級) 停用	適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護，並產生強化建議與可疑活動警示。此原則會在已選取範圍 (訂用帳戶或資源群組) 針對所有資源 (VM、VMSS 和 ARC 機器) 停用適用於伺服器的 Defender 方案。	DeployIfNotExists, Disabled	1.0.0
設定適用於伺服器的 Azure Defender 針對具有已選取標籤的所有資源 (資源層級) 停用	適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護，並產生強化建議與可疑活動警示。此原則會針對具有已選取標籤名稱和標籤值的所有資源 (VM、VMSS 和 ARC 機器) 停用適用於伺服器的 Defender 方案。	DeployIfNotExists, Disabled	1.0.0
設定適用於伺服器的 Azure Defender 針對具有已選取標籤的所有資源 (資源層級) 啟用 ('P1' 子方案)	適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護，並產生強化建議與可疑活動警示。此原則會針對具有已選取標籤名稱和標籤值的所有資源 (VM 和 ARC 機器) 啟用適用於伺服器的 Defender 方案 (具有 'P1' 子方案)。	DeployIfNotExists, Disabled	1.0.0
設定適用於伺服器的 Azure Defender 針對所有資源 (資源層級) 啟用 (具有 'P1' 子方案)	適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護，並產生強化建議與可疑活動警示。此原則會在已選取範圍 (訂用帳戶或資源群組) 針對所有資源 (VM 和 ARC 機器) 啟用適用於伺服器的 Defender 方案 (具有 'P1' 子方案)。	DeployIfNotExists, Disabled	1.0.0

服務匯流排

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
除了 RootManageSharedAccessKey 外，應從服務匯流排命名空間移除所有授權規則	服務匯流排用戶端不應該使用提供命名空間中所有佇列及主題存取權的命名空間層級存取原則。若要與最低權限資訊安全模型達成一致，您應在佇列和主題的實體層級建立存取原則，以提供僅限特定實體的存取權	Audit, Deny, Disabled	1.0.1
Azure 服務匯流排命名空間應該已停用本機驗證方法	停用本機驗證方法可確保 Azure 服務匯流排命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證，進而提升安全性。深入了解：https://aka.ms/disablelocalauth-sb。	Audit, Deny, Disabled	1.0.1
Azure 服務匯流排命名空間應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應到服務匯流排命名空間，就能降低資料外洩的風險。深入了解：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	AuditIfNotExists, Disabled	1.0.0
設定 Azure 服務匯流排命名空間以停用本機驗證	停用本機驗證方法，讓您的 Azure 服務匯流排命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證。深入了解：https://aka.ms/disablelocalauth-sb。	修改、停用	1.0.1
設定服務匯流排命名空間以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure 服務匯流排命名空間進行解析。深入了解：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定服務匯流排命名空間	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至服務匯流排命名空間，藉此降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。	DeployIfNotExists, Disabled	1.0.0
應啟用服務匯流排中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0
服務匯流排命名空間應停用公用網路存取	Azure 服務匯流排應停用公用網路存取。停用公用網路存取權可確保資源不會在公用網際網路上公開，進而改善安全性。您可改為建立私人端點，以限制資源的曝光狀況。深入了解：https://docs.microsoft.com/azure/service-bus-messaging/private-link-service	Audit, Deny, Disabled	1.1.0
服務匯流排命名空間應該啟用雙重加密	啟用雙重加密可協助保護資料安全，以符合貴組織安全性和合規性承諾。啟用雙重加密時，儲存體帳戶中的資料會加密兩次；一次在服務層級，一次在基礎結構層級，且會使用兩個不同的加密演算法和兩個不同的金鑰。	Audit, Deny, Disabled	1.0.0
服務匯流排進階命名空間應使用客戶自控金鑰進行加密	Azure 服務匯流排支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。選擇使用客戶自控金鑰來加密資料，可讓您指派、輪替、停用及撤銷服務匯流排將用來加密命名空間中資料的金鑰存取權。請注意，服務匯流排僅支援使用客戶自控金鑰來加密進階命名空間。	Audit, Disabled	1.0.0

Service Fabric

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign	Service Fabric 使用主要叢集憑證，可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署	Audit, Deny, Disabled	1.1.0
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證	稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式	Audit, Deny, Disabled	1.1.0

SignalR

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure SignalR Service 應停用公用網路存取	若要改善 Azure SignalR Service 資源的安全性，請確定將其公開至公用網際網路，且只能從私人端點存取。停用公用網路存取屬性，如 https://aka.ms/asrs/networkacls 中所述。此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。這會降低資料洩漏風險。	Audit, Deny, Disabled	1.1.0
Azure SignalR 服務應該啟用診斷記錄	稽核診斷記錄的啟用情形。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	1.0.0
Azure SignalR Service 應停用本機驗證方法	停用本機驗證方法可確保 Azure SignalR Service 僅需要 Azure Active Directory 身分認證進行驗證，以提升安全性。	Audit, Deny, Disabled	1.0.0
Azure SignalR Service 應使用已啟用 Private Link 的 SKU	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地的公用 IP 位址，以保護資源免於公用資料外洩風險。此原則會限制您將已啟用 Private Link 的 SKU 用於 Azure SignalR Service。深入了解私人連結：https://aka.ms/asrs/privatelink。	Audit, Deny, Disabled	1.0.0
Azure SignalR Service 應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務，您可以降低資料外洩風險。深入了解私人連結：https://aka.ms/asrs/privatelink。	Audit, Disabled	1.0.0
設定 Azure SignalR Service 以停用本機驗證	停用本機驗證方法，讓 Azure SignalR Service 僅需要 Azure Active Directory 身分認證進行驗證。	修改、停用	1.0.0
設定 Azure SignalR Service 的私人端點	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至 Azure SignalR Service 資源，藉此降低資料洩漏風險。請至https://aka.ms/asrs/privatelink，即可深入瞭解。	DeployIfNotExists, Disabled	1.0.0
部署 - 為連線到 Azure SignalR Service 的私人端點設定私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure SignalR Service 資源進行解析。深入了解：https://aka.ms/asrs/privatelink。	DeployIfNotExists, Disabled	1.0.0
修改 Azure SignalR Service 資源以停用公用網路存取	若要改善 Azure SignalR Service 資源的安全性，請確定將其公開至公用網際網路，且只能從私人端點存取。停用公用網路存取屬性，如 https://aka.ms/asrs/networkacls 中所述。此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。這會降低資料洩漏風險。	修改、停用	1.1.0

Site Recovery

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：將 Azure 復原服務保存庫設定為使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對復原服務保存庫進行解析。深入了解：https://aka.ms/privatednszone。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽版]：在 Azure 復原服務保存庫上設定私人端點	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。將私人端點對應至復原服務保存庫的站台復原資源，可降低資料洩漏風險。若要使用私人連結，必須將受控服務識別指派給復原服務保存庫。深入了解私人連結：https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。	DeployIfNotExists, Disabled	1.0.0-preview
[預覽版]：復原服務保存庫應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。將私人端點對應至 Azure 復原服務保存庫，可降低資料洩漏風險。若要深入了解 Azure Site Recovery 的私人連結，請參閱：https://aka.ms/HybridScenarios-PrivateLink 和 https://aka.ms/AzureToAzure-PrivateLink。	Audit, Disabled	1.0.0-preview

SQL

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure PostgreSQL 彈性伺服器應已啟用僅限 Microsoft Entra 驗證	停用本機驗證方法並僅允許 Microsoft Entra 驗證，可藉由確保 Microsoft Entra 身分識別可以獨佔存取 Azure PostgreSQL 彈性伺服器來改善安全性。	Audit, Disabled	1.0.0-preview
應為 MySQL 伺服器佈建 Microsoft Entra 管理員	稽核 MySQL 伺服器的 Microsoft Entra 管理員佈建，以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務，簡化權限管理及集中管理身分識別	AuditIfNotExists, Disabled	1.1.1
應為 PostgreSQL 伺服器佈建 Microsoft Entra 管理員	稽核 PostgreSQL 伺服器的 Microsoft Entra 管理員佈建，以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務，簡化權限管理及集中管理身分識別	AuditIfNotExists, Disabled	1.0.1
應針對 SQL 伺服器佈建 Azure Active Directory 管理員	為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況，以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務，簡化權限管理及集中管理身分識別	AuditIfNotExists, Disabled	1.0.0
應啟用 SQL 伺服器上的稽核	應在 SQL Server 上啟用稽核，以追蹤伺服器上所有資料庫的活動，並儲存在稽核記錄中。	AuditIfNotExists, Disabled	2.0.0
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender	在沒有「進階資料安全性」的情況下稽核 SQL 伺服器	AuditIfNotExists, Disabled	2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender	在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。	AuditIfNotExists, Disabled	1.0.2
Azure MySQL 彈性伺服器應已啟用僅限 Microsoft Entra 驗證	停用本機驗證方法並僅允許 Microsoft Entra 驗證，可藉由確保 Microsoft Entra 身分識別可以獨佔存取 Azure MySQL 彈性伺服器來改善安全性。	AuditIfNotExists, Disabled	1.0.1
Azure SQL Database 應執行 TLS 1.2 版或更新版本	將 TLS 版本設定為 1.2 或更新版本，可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取，進而提高安全性。不建議使用低於 1.2 的 TLS 版本，因為那些版本有已知的資訊安全性弱點。	稽核、停用、拒絕	2.0.0
Azure SQL Database 應已啟用僅限 Microsoft Entra 驗證	要求 Azure SQL 邏輯伺服器使用僅限 Microsoft Entra 驗證。此原則不會阻止建立已啟用本機驗證的伺服器。其會在建立後阻止在資源上啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/adonlycreate。	Audit, Deny, Disabled	1.0.0
Azure SQL Database 應已在建立期間啟用僅限 Microsoft Entra 驗證	要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 邏輯伺服器。此原則不會在建立後阻止在資源上重新啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/adonlycreate。	Audit, Deny, Disabled	1.2.0
Azure SQL 受控執行個體應已啟用僅限 Microsoft Entra 驗證	要求 Azure SQL 受控執行個體使用僅限 Microsoft Entra 驗證。此原則不會阻止建立已啟用本機驗證的 Azure SQL 受控執行個體。其會在建立後阻止在資源上啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/adonlycreate。	Audit, Deny, Disabled	1.0.0
Azure SQL 受控執行個體應停用公用網路存取	在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取，從而提升安全性。若要深入了解公用網路存取，請瀏覽 https://aka.ms/mi-public-endpoint。	Audit, Deny, Disabled	1.0.0
Azure SQL 受控執行個體應已在建立期間啟用僅限 Microsoft Entra 驗證	要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 受控執行個體。此原則不會在建立後阻止在資源上重新啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/adonlycreate。	Audit, Deny, Disabled	1.2.0
設定要針對 MariaDB 伺服器在 Azure 資料庫上啟用進階威脅防護	在適用於 MariaDB 伺服器的非基本層 Azure 資料庫上啟用進階威脅防護，以偵測異常活動，進而指出異常且可能有害的嘗試存取或利用資料庫情形。	DeployIfNotExists, Disabled	1.2.0
設定要針對 MySQL 伺服器在 Azure 資料庫上啟用進階威脅防護	在適用於 MySQL 伺服器的非基本層 Azure 資料庫上啟用進階威脅防護，以偵測異常活動，進而指出異常且可能有害的嘗試存取或利用資料庫情形。	DeployIfNotExists, Disabled	1.2.0
設定要在適用於 PostgreSQL 的 Azure 資料庫伺服器上啟用的進階威脅防護	在適用於 PostgreSQL 的非基本層 Azure 資料庫伺服器上啟用進階威脅防護，以偵測異常活動，進而指出異常且可能有害的嘗試存取或利用資料庫情形。	DeployIfNotExists, Disabled	1.2.0
設定在 SQL 受控執行個體上啟用 Azure Defender	在 Azure SQL 受控執行個體上啟用 Azure Defender，以偵測異常活動，這可指出異常且可能有害的存取或惡意探索資料庫嘗試。	DeployIfNotExists, Disabled	2.0.0
設定在 SQL 伺服器上啟用 Azure Defender	在 Azure SQL Server 上啟用 Azure Defender，以偵測異常活動，這可指出異常且可能有害的存取或惡意探索資料庫嘗試。	DeployIfNotExists	2.1.0
將 Azure SQL 資料庫伺服器診斷設定設定為 Log Analytics 工作區	在建立或更新任何缺少稽核的 SQL Server 時，啟用 Azure SQL Database 伺服器的稽核記錄，並將此記錄串流至 Log Analytics 工作區	DeployIfNotExists, Disabled	1.0.2
設定 Azure SQL Server 以停用公用網路存取	停用公用網路存取屬性會關閉公用連線，因此只能從私人端點存取 Azure SQL Server。此設定會停用 Azure SQL Server 下所有資料庫的公用網路存取。	修改、停用	1.0.0
設定 Azure SQL Server 以啟用私人端點連線	私人端點連線可透過虛擬網路內的私人 IP 位址，對 Azure SQL Database 啟用私人連線。此設定可改善您的安全性態勢，並支援 Azure 網路工具和情節。	DeployIfNotExists, Disabled	1.0.0
設定 SQL 伺服器以啟用稽核	為了確保擷取到針對您 SQL 資產所執行的作業，SQL 伺服器應已啟用稽核。有時候必須如此才能符合法規標準。	DeployIfNotExists, Disabled	3.0.0
將 SQL 伺服器設定為啟用 Log Analytics 工作區的稽核	為了確保擷取到針對您 SQL 資產所執行的作業，SQL 伺服器應已啟用稽核。如果未啟用稽核，此原則會將稽核事件設定為流向指定的 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.0.0
應為 PostgreSQL 資料庫伺服器啟用連線節流	此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 資料庫。此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。	AuditIfNotExists, Disabled	1.0.0
部署 - 將 SQL Database 診斷設定設定為 Log Analytics 工作區	在建立或更新任何缺少此診斷設定的 SQL Database 時，將 SQL Database 的診斷設定部署至 Log Analytics 工作區的串流資源記錄。	DeployIfNotExists, Disabled	4.0.0
在 SQL 伺服器上部署進階資料安全性	此原則會在 SQL Server 上啟用進階資料安全性。包括開啟威脅偵測和弱點評估。此原則將自動在與 SQL server 相同的區域和資源群組中，建立前置詞為 'sqlva' 的儲存體帳戶，以儲存掃描結果。	DeployIfNotExists	1.3.0
將 Azure SQL Database 的診斷設定部署至事件中樞	針對 Azure SQL Database 部署診斷設定，以串流至所有缺少此診斷設定而建立或更新之 Azure SQL Database 上的區域事件中樞。	DeployIfNotExists	1.2.0
部署 SQL DB 透明資料加密	在 SQL 資料庫上啟用透明資料加密	DeployIfNotExists, Disabled	2.2.0
應為 PostgreSQL 資料庫伺服器記錄中斷連線。	此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。	AuditIfNotExists, Disabled	1.0.0
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線]	適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL)，將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線，可將兩者之間的資料流加密，有助於抵禦「中間人」攻擊。此設定會強制一律啟用 SSL，以存取您的資料庫伺服器。	Audit, Disabled	1.0.1
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線]	適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL)，將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線，可將兩者之間的資料流加密，有助於抵禦「中間人」攻擊。此設定會強制一律啟用 SSL，以存取您的資料庫伺服器。	Audit, Disabled	1.0.1
應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份	適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。可以設定為異地備援備份儲存體，其中的資料不只會儲存在裝載您伺服器的區域內，也會複寫至配對的區域，以在發生區域失敗時提供復原選項。您只可在伺服器建立期間，為備份設定異地備援儲存體。	Audit, Disabled	1.0.1
應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份	適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。可以設定為異地備援備份儲存體，其中的資料不只會儲存在裝載您伺服器的區域內，也會複寫至配對的區域，以在發生區域失敗時提供復原選項。您只可在伺服器建立期間，為備份設定異地備援儲存體。	Audit, Disabled	1.0.1
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份	適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。可以設定為異地備援備份儲存體，其中的資料不只會儲存在裝載您伺服器的區域內，也會複寫至配對的區域，以在發生區域失敗時提供復原選項。您只可在伺服器建立期間，為備份設定異地備援儲存體。	Audit, Disabled	1.0.1
應為適用於 MySQL 的 Azure 資料庫伺服器啟用基礎結構加密	為適用於 MySQL 的 Azure 資料庫伺服器啟用基礎結構加密，讓資料有更高層級的安全保證。啟用基礎結構加密時，待用資料會使用與 FIPS 140-2 相容的 Microsoft 管理金鑰進行兩次加密。	Audit, Deny, Disabled	1.0.0
應為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密	為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密，讓資料有更高層級的安全保證。啟用基礎結構加密時，待用資料會使用與 FIPS 140-2 相容的 Microsoft 管理金鑰進行兩次加密	Audit, Deny, Disabled	1.0.0
應為 PostgreSQL 資料庫伺服器啟用記錄檢查點	此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 資料庫。	AuditIfNotExists, Disabled	1.0.0
應為 PostgreSQL 資料庫伺服器啟用記錄連線	此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 資料庫。	AuditIfNotExists, Disabled	1.0.0
應為 PostgreSQL 資料庫伺服器啟用記錄持續時間	此原則可協助稽核您環境中任何未啟用 log_duration 設定的 PostgreSQL 資料庫。	AuditIfNotExists, Disabled	1.0.0
應為 Azure SQL Database 啟用長期異地備援備份	此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。	AuditIfNotExists, Disabled	2.0.0
MariaDB 伺服器應使用虛擬網路服務端點	使用虛擬網路形式的防火牆規則，讓流量從特定子網路進入適用於 MariaDB 的 Azure 資料庫，同時確保流量會保持在 Azure 界限內。此原則可讓您在使用擁有虛擬網路服務端點的適用於 MariaDB 的 Azure 資料庫情況下進行稽核。	AuditIfNotExists, Disabled	1.0.2
MariaDB 伺服器應使用虛擬網路服務端點	使用虛擬網路形式的防火牆規則，讓流量從特定子網路進入適用於 MySQL 的 Azure 資料庫，同時確保流量會保持在 Azure 界限內。此原則可讓您在使用擁有虛擬網路服務端點的適用於 MySQL 的 Azure 資料庫情況下進行稽核。	AuditIfNotExists, Disabled	1.0.2
MySQL 伺服器應使用客戶自控金鑰為待用資料加密	使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。根據預設，資料會使用服務管理的金鑰進行待用加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。	AuditIfNotExists, Disabled	1.0.4
PostgreSQL 伺服器應使用虛擬網路服務端點	使用虛擬網路形式的防火牆規則，讓流量從特定子網路進入適用於 PostgreSQL 的 Azure 資料庫，同時確保流量會保持在 Azure 界限內。此原則可讓您在使用擁有虛擬網路服務端點的適用於 PostgreSQL 的 Azure 資料庫情況下進行稽核。	AuditIfNotExists, Disabled	1.0.2
PostgreSQL 伺服器應使用客戶自控金鑰加密待用資料	使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。根據預設，資料會使用服務管理的金鑰進行待用加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。	AuditIfNotExists, Disabled	1.0.4
應對 Azure SQL Database 啟用私人端點連線	私人端點連線透過啟用與 Azure SQL Database 的私人連線，可強制執行安全通訊。	Audit, Disabled	1.1.0
MariaDB 伺服器應啟用私人端點	私人端點連線透過啟用與適用於 MariaDB 的 Azure 資料庫的私人連線，可強制執行安全通訊。設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。	AuditIfNotExists, Disabled	1.0.2
MySQL 伺服器應啟用私人端點	私人端點連線透過啟用與適用於 MySQL 的 Azure 資料庫的私人連線，可強制執行安全通訊。設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。	AuditIfNotExists, Disabled	1.0.2
PostgreSQL 伺服器應啟用私人端點	私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線，可強制執行安全通訊。設定私人端點連線，僅存取來自已知網路的流量，並防止其他所有 IP 位址 (包括 Azure 內) 的存取。	AuditIfNotExists, Disabled	1.0.2
應對 Azure SQL Database 停用公用網路存取	停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取，藉此改善安全性。此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	1.1.0
應為 MariaDB 伺服器停用公用網路存取	停用公用網路存取屬性可確保適用於 MariaDB 的 Azure 資料庫只能從私人端點存取，藉此改善安全性。此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	2.0.0
應為 MySQL 彈性伺服器停用公用網路存取	停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫彈性伺服器只能從私人端點存取，藉此改善安全性。此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	2.1.0
應為 MySQL 伺服器停用公用網路存取	停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫只能從私人端點存取，藉此改善安全性。此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	2.0.0
應為 PostgreSQL 彈性伺服器停用公用網路存取	停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫彈性伺服器只能從私人端點存取，藉此改善安全性。此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 型防火牆規則的登入。	Audit, Deny, Disabled	3.1.0
應為 PostgreSQL 伺服器停用公用網路存取	停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取，藉此改善安全性。此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	2.0.1
SQL 審核設定應已設定動作群組來擷取重要活動	AuditActionsAndGroups 屬性至少應包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP，才可確保完整記錄稽核	AuditIfNotExists, Disabled	1.0.0
SQL Database 應避免使用 GRS 備份備援	如果資料落地規則需要資料保持在特定區域內，資料庫應該避免使用預設異地備援儲存體進行備份。注意：使用 T-SQL 建立資料庫時，不會強制執行 Azure 原則。若未明確指定，透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。	稽核, 拒絕, 停用	2.0.0
SQL 受控執行個體的最低 TLS 版本應為 1.2	將最低的 TLS 版本設定為 1.2，可確保您的 SQL 受控執行個體只能從使用 TLS 1.2 的用戶端存取，進而提升安全性。不建議使用低於 1.2 的 TLS 版本，因為那些版本有已知的資訊安全性弱點。	Audit, Disabled	1.0.1
SQL 受控執行個體應避免使用 GRS 備份備援	如果資料落地規則需要資料保持在特定區域內，受控執行個體應該避免使用預設異地備援儲存體進行備份。注意：使用 T-SQL 建立資料庫時，不會強制執行 Azure 原則。若未明確指定，透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。	稽核, 拒絕, 停用	2.0.0
SQL 受控執行個體應使用客戶自控金鑰來加密待用資料	實作具有自備金鑰的透明資料加密 (TDE)，能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性，以及提升職權劃分。這項建議適用於具有相關合規性需求的組織。	Audit, Deny, Disabled	2.0.0
SQL 伺服器應使用客戶自控金鑰來加密待用資料	實作具有自備金鑰的透明資料加密 (TDE)，能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性，以及提升職權劃分。這項建議適用於具有相關合規性需求的組織。	Audit, Deny, Disabled	2.0.1
對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上	為了進行事件調查，建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。確認您符合您正在操作區域所需的保留規則。有時候必須如此才能符合法規標準。	AuditIfNotExists, Disabled	3.0.0
應在 SQL 資料庫上啟用透明資料加密	應啟用透明資料加密，以保護待用資料，並滿足合規性需求	AuditIfNotExists, Disabled	2.0.0
應對 Azure SQL Database 啟用虛擬網路防火牆規則，允許來自指定子網路的流量	使用虛擬網路形式的防火牆規則，讓流量從特定子網路進入 Azure SQL Database，同時確保流量會保持在 Azure 界限內。	AuditIfNotExists	1.0.0
應在 SQL 受控執行個體上啟用弱點評定	稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。	AuditIfNotExists, Disabled	1.0.1
弱點評估應於您的 SQL 伺服器上啟用	稽核未正確設定弱點評量的 Azure SQL 伺服器。弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。	AuditIfNotExists, Disabled	3.0.0

SQL 受控執行個體

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
客戶自控金鑰加密必須用來作為 Arc SQL 受控執行個體 CMK 加密的一部分。	作為 CMK 加密的一部分，必須使用客戶自控金鑰加密。請至https://aka.ms/EnableTDEArcSQLMI，即可深入瞭解。	Audit, Disabled	1.0.0
必須針對 Arc SQL 受控執行個體使用 TLS 通訊協定 1.2。	在網路設定中，Microsoft 建議在 SQL Server 中針對 TLS 通訊協定只允許 TLS 1.2。在以下位置深入了解 SQL Server 的網路設定：https://aka.ms/TlsSettingsSQLServer。	Audit, Disabled	1.0.0
必須針對 Arc SQL 受控執行個體啟用透明資料加密。	在已啟用 Azure Arc 的 SQL 受控執行個體中啟用待用透明資料加密 (TDE)。請至https://aka.ms/EnableTDEArcSQLMI，即可深入瞭解。	Audit, Disabled	1.0.0

SQL Server

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：對 SQL VM 啟用系統指派的身分識別	對 SQL 虛擬機器大規模啟用系統指派的身分識別。您必須在訂用帳戶層級指派此原則。在資源群組層級指派無法如預期般運作。	DeployIfNotExists, Disabled	1.0.0-preview
使用已安裝的 SQL Server 延伸模組來設定已啟用 Arc 的伺服器，以啟用或停用 SQL 最佳做法評量。	在已啟用 Arc 的伺服器的 SQL 伺服器執行個體上，啟用或停用 SQL 最佳做法評量，以評估最佳做法。請至https://aka.ms/azureArcBestPracticesAssessment，即可深入瞭解。	DeployIfNotExists, Disabled	1.0.1
訂閱合格已啟用 Arc 的 SQL Server 執行個體的延伸安全性更新。	訂閱合格已啟用 Arc 的 SQL Server 執行個體的延伸安全性更新，將「授權類型」設定為「付費」或「隨用隨付」。若要深入了解延伸安全性更新，請參閱 https://go.microsoft.com/fwlink/?linkid=2239401。	DeployIfNotExists, Disabled	1.0.0

Stack HCI

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：Azure Stack HCI 伺服器應該一致地強制執行應用程式控制原則	至少請在所有 Azure Stack HCI 伺服器上，以強制模式套用 Microsoft WDAC 基底原則。套用的 Windows Defender 應用程式控制 (WDAC) 原則必須在相同叢集中的所有伺服器之間保持一致。	Audit, Disabled, AuditIfNotExists	1.0.0-preview
[預覽]：Azure Stack HCI 伺服器應符合安全核心需求	確定所有 Azure Stack HCI 伺服器都符合安全核心需求。若要啟用安全核心伺服器需求：1. 從 [Azure Stack HCI 叢集] 頁面，移至 [Windows Admin Center]，然後選取 [連線]。 2. 移至 [安全性延伸模組]，然後選取 [安全核心]。 3. 選取未啟用的任何設定，然後按一下 [啟用]。	Audit, Disabled, AuditIfNotExists	1.0.0-preview
[預覽]：Azure Stack HCI 系統應具有加密磁碟區	使用 BitLocker 來加密 Azure Stack HCI 系統上的 OS 和資料磁碟區。	Audit, Disabled, AuditIfNotExists	1.0.0-preview
[預覽]：應在 Azure Stack HCI 系統上保護主機和 VM 網路	保護 Azure Stack HCI 主機網路上的資料和虛擬機器網路連線上的資料。	Audit, Disabled, AuditIfNotExists	1.0.0-preview

儲存體

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
[預覽]：應禁止儲存體帳戶公用存取	以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob，是共用資料的便利方式，但也可能會帶來安全性風險。為了防止不想要的匿名存取所造成的資料缺口，Microsoft 建議除非您的案例需要，否則避免公開存取儲存體帳戶。	稽核、稽核、拒絕、拒絕、停用、停用	3.1.0-preview
Azure 檔案同步應使用私人連結	為指定的儲存體同步服務資源建立私人端點，可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源，而非透過網際網路存取的公用端點。建立私人端點並不會停用公用端點。	AuditIfNotExists, Disabled	1.0.0
Azure NetApp 檔案 SMB 磁碟區應使用 SMB3 加密	不允許建立不含 SMB3 加密的 SMB 磁碟區，以確保資料完整性和資料隱私權。	Audit, Deny, Disabled	1.0.0
類型 NFSv4.1 的 Azure NetApp 檔案磁碟區應使用 Kerberos 資料加密	僅允許使用 Kerberos 隱私權 (5p) 安全性模式，以確保資料已加密。	Audit, Deny, Disabled	1.0.0
類型 NFSv4.1 的 Azure NetApp 檔案磁碟區應使用 Kerberos 資料完整性或資料隱私權	請確認至少已選取 Kerberos 完整性 (krb5i) 或 Kerberos 隱私權 (krb5p)，以確保資料完整性和資料隱私權。	Audit, Deny, Disabled	1.0.0
Azure NetApp 檔案磁碟區不應使用 NFSv3 通訊協定類型	不允許使用 NFSv3 通訊協定類型，以避免不安全存取磁碟區。應使用 NFSv4.1 搭配 Kerberos 通訊協定來存取 NFS 磁碟區，以確保資料完整性及加密。	Audit, Deny, Disabled	1.0.0
為 blob groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 blob groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 blob_secondary groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 blob_secondary groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 dfs groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 dfs groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 dfs_secondary groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 dfs_secondary groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為檔案 groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫檔案 groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為佇列 groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫佇列 groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 queue_secondary groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 queue_secondary groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為資料表 groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫資料表 groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 table_secondary groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 table_secondary groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 Web groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 Web groupID 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
為 web_secondary groupID 設定私人 DNS 區域識別碼	設定私人 DNS 區域群組，以覆寫 web_secondary 私人端點的 DNS 解析。	DeployIfNotExists, Disabled	1.0.0
設定 Azure 檔案同步以使用私人 DNS 區域	若要從已註冊的伺服器存取儲存體同步服務資源介面的私人端點，您必須設定 DNS 以將正確的名稱解析為私人端點的私人 IP 位址。此原則會建立必要的 Azure 私用 DNS 區域，以及儲存體同步服務私人端點介面的記錄。	DeployIfNotExists, Disabled	1.1.0
使用私人端點設定 Azure 檔案同步	針對指出的儲存體同步服務資源部署私人端點。這可讓您從組織網路的私人 IP 位址空間內部定址儲存體同步服務資源，而不是透過網際網路存取的公用端點。一或多個私人端點的存在，並不會停用公用端點。	DeployIfNotExists, Disabled	1.0.0
將 Blob 服務的診斷設定配置到 Log Analytics 工作區	在建立或更新任何遺漏診斷設定的 Blob 服務時，部署 Blob 服務的診斷設定以將資源記錄串流至 Log Analytics 工作區。	DeployIfNotExists、AuditIfNotExists、Disabled	4.0.0
將檔案服務的診斷設定配置到 Log Analytics 工作區	在建立或更新任何遺漏診斷設定的檔案服務時，部署檔案服務的診斷設定以將資源記錄串流至 Log Analytics 工作區。	DeployIfNotExists、AuditIfNotExists、Disabled	4.0.0
將佇列服務的診斷設定配置到 Log Analytics 工作區	在建立或更新任何遺漏診斷設定的佇列服務時，部署佇列服務的診斷設定以將資源記錄串流至 Log Analytics 工作區。注意：此原則不會在儲存體帳戶建立時觸發，而且需要建立補救工作才能更新帳戶。	DeployIfNotExists、AuditIfNotExists、Disabled	4.0.1
將儲存體帳戶的診斷設定配置到 Log Analytics 工作區	在建立或更新任何遺漏診斷設定的儲存體帳戶時，部署儲存體帳戶的診斷設定以將資源記錄串流至 Log Analytics 工作區。	DeployIfNotExists、AuditIfNotExists、Disabled	4.0.0
將資料表服務的診斷設定配置到 Log Analytics 工作區	在建立或更新任何遺漏診斷設定的資料表服務時，部署資料表服務的診斷設定以將資源記錄串流至 Log Analytics 工作區。注意：此原則不會在儲存體帳戶建立時觸發，而且需要建立補救工作才能更新帳戶。	DeployIfNotExists、AuditIfNotExists、Disabled	4.0.1
在儲存體帳戶上設定安全的資料傳輸	安全傳輸這個選項會強制儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。使用 HTTPS 可確保伺服器與服務之間的驗證，避免傳輸中的資料遭受網路層的攻擊，例如中間人攻擊、竊聽及工作階段劫持	修改、停用	1.0.0
將儲存體帳戶設定成使用私人連結連線	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。只要將私人端點對應至您的儲存體帳戶，就能降低資料外洩風險。深入了解私人連結，請造訪 https://aka.ms/azureprivatelinkoverview	DeployIfNotExists, Disabled	1.0.0
設定儲存體帳戶以停用公用網路存取	若要改善儲存體帳戶的安全性，請確定儲存體帳戶不會公開至公用網際網路，且只能從私人端點存取。停用公用網路存取屬性，如 https://aka.ms/storageaccountpublicnetworkaccess 中所述。此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。這會降低資料洩漏風險。	修改、停用	1.0.1
將儲存體帳戶公用存取設定為不允許	以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob，是共用資料的便利方式，但也可能會帶來安全性風險。為了防止不想要的匿名存取所造成的資料缺口，Microsoft 建議除非您的案例需要，否則避免公開存取儲存體帳戶。	修改、停用	1.0.0
設定儲存體帳戶以啟用 Blob 版本設定	您可以啟用 Blob 儲存體版本設定，以自動維護舊版的物件。啟用 Blob 版本設定時，您可以存取舊版的 Blob，以在資料遭到修改或刪除時復原資料。	Audit, Deny, Disabled	1.0.0
在儲存體帳戶上部署適用於儲存體的 Defender (傳統)	此原則會在儲存體帳戶上啟用適用於儲存體的 Defender (傳統)。	DeployIfNotExists, Disabled	1.0.1
應為儲存體帳戶啟用異地備援儲存體	使用異地備援、建立高可用性的應用程式	Audit, Disabled	1.0.0
HPC Cache 帳戶應使用客戶自控金鑰加密	使用客戶自控金鑰管理 Azure HPC Cache 待用加密。根據預設，客戶資料會使用服務管理的金鑰進行加密，但通常需要有客戶自控金鑰才能符合法規合規性標準。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。	稽核、停用、拒絕	2.0.0
修改 - 設定 Azure 檔案同步以停用公用網路存取	Azure 檔案同步的網際網路存取公用端點已依據您的組織原則停用。您仍然可以透過其私人端點存取儲存體同步服務。	修改、停用	1.0.0
修改 - 設定儲存體帳戶以啟用 Blob 版本設定	您可以啟用 Blob 儲存體版本設定，以自動維護舊版的物件。啟用 Blob 版本設定時，您可以存取舊版的 Blob，以在資料遭到修改或刪除時復原資料。請注意，不會修改現有的儲存體帳戶來啟用 Blob 儲存體版本設定。只有新建立的儲存體帳戶會啟用 Blob 儲存體版本設定	修改、停用	1.0.0
應為 Azure 檔案同步停用公用網路存取	停用公用端點，可讓您將儲存體同步服務資源的存取範圍限制在以組織網路上經過核准的私人端點為目標的要求。允許傳送至公用端點的要求本身並沒有不安全的問題，但停用公用端點可以符合法規、法令或組織原則需求。您可以將資源的 incomingTrafficPolicy 設定為 AllowVirtualNetworksOnly，以停用儲存體同步服務的公用端點。	Audit, Deny, Disabled	1.0.0
佇列儲存體應使用客戶自控金鑰進行加密	使用客戶自控金鑰以更具彈性的方式保護您的佇列儲存體。當您指定客戶自控金鑰時，該金鑰會用來保護及控制加密資料所需金鑰的存取權。客戶自控金鑰提供額外的功能，可用於控制金鑰輪替，或以密碼編譯的方式清除資料。	Audit, Deny, Disabled	1.0.0
應啟用儲存體帳戶的安全傳輸	稽核儲存體帳戶中安全傳輸的需求。安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。使用 HTTPS 可確保伺服器與服務之間的驗證，避免傳輸中的資料遭受網路層的攻擊，例如中間人攻擊、竊聽及工作階段劫持	Audit, Deny, Disabled	2.0.0
儲存體帳戶加密範圍應使用客戶自控金鑰來加密待用資料	使用客戶自控金鑰來管理儲存體帳戶加密範圍的待用加密。客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。若要深入了解儲存體帳戶加密範圍，請參閱https://aka.ms/encryption-scopes-overview。	Audit, Deny, Disabled	1.0.0
儲存體帳戶加密範圍應為待用資料使用雙重加密	針對儲存體帳戶加密範圍的待用加密啟用基礎結構加密，以提高安全性。基礎結構加密可確保您的資料會加密兩次。	Audit, Deny, Disabled	1.0.0
儲存體帳戶金鑰不應過期	設定金鑰到期原則時，請確定使用者儲存體帳戶金鑰未到期，以在金鑰到期時採取行動以改善帳戶金鑰的安全性。	Audit, Deny, Disabled	3.0.0
儲存體帳戶應允許來自信任 Microsoft 服務的存取	有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。若要讓這類服務如預期方式運作，請允許受信任的 Microsoft 服務集合略過網路規則。這些服務會使用增強式驗證存取儲存體帳戶。	Audit, Deny, Disabled	1.0.0
儲存體帳戶應由允許的 SKU 加以限制	限制您組織可以部署的儲存體帳戶 SKU 集合。	Audit, Deny, Disabled	1.1.0
儲存體帳戶應移轉至新的 Azure Resource Manager 資源	在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性，除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證，還支援標記和資源群組，讓安全性管理更加輕鬆	Audit, Deny, Disabled	1.0.0
儲存體帳戶應停用公用網路存取	若要改善儲存體帳戶的安全性，請確定儲存體帳戶不會公開至公用網際網路，且只能從私人端點存取。停用公用網路存取屬性，如 https://aka.ms/storageaccountpublicnetworkaccess 中所述。此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取，並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。這會降低資料洩漏風險。	Audit, Deny, Disabled	1.0.1
儲存體帳戶應具有基礎結構加密	啟用基礎結構加密，以取得資料安全的更高層級保證。啟用基礎結構加密時，儲存體帳戶中的資料會加密兩次。	Audit, Deny, Disabled	1.0.0
儲存體帳戶應該已設定共用存取簽章 (SAS) 原則	請確認儲存體帳戶已啟用共用存取簽章 (SAS) 到期原則。使用者可使用 SAS 來委派 Azure 儲存體帳戶中資源的存取權。當使用者建立 SAS 權杖時，SAS 到期原則會建議期限上限。	Audit, Deny, Disabled	1.0.0
儲存體帳戶應具有指定的最低 TLS 版本	設定最低 TLS 版本以建立用戶端應用程式與儲存體帳戶之間的安全通訊。為了將安全性風險最小化，建議最低 TLS 版本為最新版本，目前是 TLS 1.2。	Audit, Deny, Disabled	1.0.0
儲存體帳戶應防止跨租用戶物件複寫	稽核儲存體帳戶中物件複寫的限制。根據預設，使用者可以在一個 Azure AD 租用戶的來源儲存體帳戶和不同租用戶的目的地帳戶中設定物件複寫。這會是一個安全問題，因為客戶資料可以複寫到該客戶所擁有的儲存體帳戶。將 allowCrossTenantReplication 設定為 false 後，只有來源和目的地帳戶都位於相同的 Azure AD 租用戶時，才能設定物件複寫。	Audit, Deny, Disabled	1.0.0
儲存體帳戶應防止共用金鑰存取	Azure Active Directory (Azure AD) 進行必要條件審核，以授權儲存體帳戶的要求。根據預設，您可以使用 Azure Active Directory 認證或使用共用金鑰授權的帳戶存取金鑰來授權要求。在這兩種類型的授權中，Microsoft 建議使用 Azure AD，因為其可透過共用金鑰提供更優異的安全性和易用性。	Audit, Deny, Disabled	2.0.0
儲存體帳戶應限制網路存取	應限制對儲存體帳戶的網路存取。請設定網路規則，只允許來自認可之網路的應用程式存取儲存體帳戶。若要允許來自特定網際網路或內部部署用戶端的連線，可將存取權授與來自特定 Azure 虛擬網路的流量，或授與公用網際網路 IP 位址範圍	Audit, Deny, Disabled	1.1.1
儲存體帳戶應使用虛擬網路規則來限制網路存取	使用虛擬網路規則作為慣用方法而非 IP 型篩選，可為您的儲存體帳戶抵禦潛在威脅。停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。	Audit, Deny, Disabled	1.0.1
儲存體帳戶應使用客戶自控金鑰進行加密	使用客戶自控金鑰，以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。當您指定客戶自控金鑰時，該金鑰會用來保護及控制加密資料所需金鑰的存取權。客戶自控金鑰提供額外的功能，可用於控制金鑰輪替，或以密碼編譯的方式清除資料。	Audit, Disabled	1.0.3
儲存體帳戶應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。只要將私人端點對應至您的儲存體帳戶，資料外洩風險就會降低。深入了解私人連結，請造訪 https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Disabled	2.0.0
表格儲存體應使用客戶自控金鑰進行加密	使用客戶自控金鑰以更具彈性的方式保護您的表格儲存體。當您指定客戶自控金鑰時，該金鑰會用來保護及控制加密資料所需金鑰的存取權。客戶自控金鑰提供額外的功能，可用於控制金鑰輪替，或以密碼編譯的方式清除資料。	Audit, Deny, Disabled	1.0.0

串流分析

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure 串流分析作業應使用客戶自控金鑰來加密資料	要將串流分析作業的任何中繼資料和私人資料資產安全地儲存在儲存體帳戶中時，請使用客戶自控金鑰。這可讓您完全控管串流分析資料的加密方式。	稽核、稽核、拒絕、拒絕、停用、停用	1.1.0
應啟用 Azure 串流分析中的資源記錄	稽核資源記錄的啟用。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	5.0.0
串流分析工作應連線到信任的輸入和輸出	確定串流分析作業沒有允許清單中未定義的任意輸入或輸出連線。這會藉由連線到組織外部的任意接收器，檢查串流分析作業不會外洩資料。	拒絕、停用、稽核	1.1.0
串流分析作業應使用受控識別來驗證端點	請確認串流分析作業只使用受控識別驗證連線到端點。	拒絕、停用、稽核	1.0.0

Synapse

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
應在 Synapse 工作區上啟用稽核	應在 Synapse 工作區上啟用稽核，以追蹤專用 SQL 集區上所有資料庫的資料庫活動，並儲存在稽核記錄中。	AuditIfNotExists, Disabled	1.0.0
Azure Synapse Analytics 專用 SQL 集區應啟用加密	為 Azure Synapse Analytics 專用 SQL 集區啟用透明資料加密，以保護待用資料並符合合規性需求。請注意，為集區啟用透明資料加密可能會影響查詢效能。如需更多詳細資料，請參閱 https://go.microsoft.com/fwlink/?linkid=2147714	AuditIfNotExists, Disabled	1.0.0
Azure Synapse 工作區 SQL Server 應該執行 TLS 1.2 版或更新版本	將 TLS 版本設定為 1.2 或更新版本，可確保您的 Azure Synapse 工作區SQL 伺服器只能從使用 TLS 1.2 或更新版本的用戶端中存取，進而提高安全性。不建議使用低於 1.2 的 TLS 版本，因為那些版本有已知的資訊安全性弱點。	Audit, Deny, Disabled	1.1.0
Azure Synapse 工作區應只允許傳送輸出資料流量到已核准的目標	僅允許將輸出資料流量傳送至核准的目標，藉此提高 Synapse 工作區的安全性。這會先驗證目標再傳送資料，有助於防止資料外流。	稽核、停用、拒絕	1.0.0
Azure Synapse 工作區應停用公用網路存取	停用公用網路存取可確保 Synapse 工作區不會在公用網際網路上公開，藉此改善安全性。建立私人端點可能會限制您 Synapse 工作區的曝光。深入了解：https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。	Audit, Deny, Disabled	1.0.0
Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料	使用客戶自控金鑰來控制 Azure Synapse 工作區中所儲存資料的待用加密。客戶管理的金鑰會在使用服務管理的金鑰完成的預設加密以外新增第二層加密，來提供雙重加密。	Audit, Deny, Disabled	1.0.0
Azure Synapse 工作區應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。將私人端點對應至 Azure Synapse 工作區，藉此降低資料洩漏風險。深入了解私人連結：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	Audit, Disabled	1.0.1
設定 Azure Synapse 工作區專用 SQL 最小 TLS 版本	客戶可以使用 API 提高或降低新的 Synapse 工作區或現有工作區的 TLS 最低版本。因此，需要在工作區使用較低用戶端版本的使用者可以進行連線，而具有安全性需求的使用者可以提高最低 TLS 版本。深入了解：https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。	修改、停用	1.1.0
設定 Azure Synapse 工作區以停用公用網路存取	停用 Synapse 工作區的公用網路存取，使其無法透過公用網際網路存取。這可降低資料洩漏風險。深入了解：https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。	修改、停用	1.0.0
設定 Azure Synapse 工作區，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure Synapse 工作區進行解析。深入了解：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint。	DeployIfNotExists, Disabled	2.0.0
使用私人端點設定 Azure Synapse 工作區	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。您可以將私人端點對應至 Azure Synapse 工作區，藉此降低資料洩漏風險。深入了解私人連結：https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。	DeployIfNotExists, Disabled	1.0.0
設定 Synapse 工作區以啟用稽核	為了確保擷取到針對您 SQL 資產所執行的作業，Synapse 工作區應已啟用稽核。有時候必須如此才能符合法規標準。	DeployIfNotExists, Disabled	2.0.0
將 Synapse 工作區設定為啟用 Log Analytics 工作區的稽核	為了確保擷取到針對您 SQL 資產所執行的作業，Synapse 工作區應已啟用稽核。如果未啟用稽核，此原則會將稽核事件設定為流向指定的 Log Analytics 工作區。	DeployIfNotExists, Disabled	1.0.0
將 Synapse 工作區設定為僅使用 Microsoft Entra 身分識別進行驗證	要求和重新設定 Synapse 工作區使用僅限 Microsoft Entra 驗證。此原則不會阻止建立已啟用本機驗證的工作區。確實會阻止本機驗證啟用，並在建立之後重新啟用資源上的僅限 Microsoft Entra 驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/Synapse。	修改、停用	1.0.0
設定 Synapse 工作區在工作區建立期間僅使用 Microsoft Entra 身分識別進行驗證	要求和重新設定 Synapse 工作區使用僅限 Microsoft Entra 驗證進行建立。此原則不會在建立後阻止在資源上重新啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/Synapse。	修改、停用	1.2.0
應移除 Azure Synapse 工作區上的 IP 防火牆規則	移除所有 IP 防火牆規則可確保您的 Azure Synapse 工作區只能從私人端點存取，藉此改善安全性。此設定會審核防火牆規則的建立，以允許在工作區上使用公用網路存取。	Audit, Disabled	1.0.0
應該在 Azure Synapse 工作區中啟用受控工作區虛擬網路	啟用受控工作區虛擬網路可確保您的工作區與其他工作區之間的網路隔離。在此虛擬網路中部署的資料整合和 Spark 資源也會提供 Spark 活動的使用者層級隔離。	Audit, Deny, Disabled	1.0.0
Synapse 受控私人端點只能連線至已核准 Azure Active Directory 租用戶中的資源	藉由只允許連線到已核准 Azure Active Directory (Azure AD) 租用戶中的資源，來保護您的 Synapse 工作區。您可以在原則指派期間定義核准的 Azure AD 租用戶。	稽核、停用、拒絕	1.0.0
Synapse 工作區稽核設定應將動作群組設定為擷取重要活動	為了確保您的稽核記錄盡可能完整，AuditActionsAndGroups 屬性應包含所有相關的群組。建議您至少新增 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。有時候必須如此才能符合法規標準。	AuditIfNotExists, Disabled	1.0.0
Synapse 工作區應已啟用僅限 Microsoft Entra 驗證	要求 Synapse 工作區使用僅限 Microsoft Entra 驗證。此原則不會阻止建立已啟用本機驗證的工作區。其會在建立後阻止在資源上啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/Synapse。	Audit, Deny, Disabled	1.0.0
Synapse 工作區應在工作區建立期間只使用 Microsoft Entra 身分識別進行驗證	要求使用僅限 Microsoft Entra 驗證來建立 Synapse 工作區。此原則不會在建立後阻止在資源上重新啟用本機驗證。請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。深入了解：https://aka.ms/Synapse。	Audit, Deny, Disabled	1.2.0
對儲存體帳戶目的地進行 SQL 稽核的 Synapse 工作區保留期應設定為 90 天 (含) 以上	為了進行事件調查，建議您將 Synapse 工作區 SQL 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。確認您符合您正在操作區域所需的保留規則。有時候必須如此才能符合法規標準。	AuditIfNotExists, Disabled	2.0.0
應在您的 Synapse 工作區上啟用弱點評量	在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描，以探索、追蹤及補救潛在弱點。	AuditIfNotExists, Disabled	1.0.0

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
將標籤新增至資源群組	當建立或更新了任何遺失指定標籤的資源群組時，便新增此標籤和值。您可以藉由觸發補救工作來補救現有的資源群組。如果標籤以不同的值存在，則不會遭到變更。	修改	1.0.0
將標籤新增至資源	當建立或更新了任何遺失指定標籤的資源時，便新增此標籤和值。您可以藉由觸發補救工作來補救現有的資源。如果標籤以不同的值存在，則不會遭到變更。資源群組上的標記不會修改。	修改	1.0.0
將標籤新增至訂用帳戶	透過補救工作，將指定的標籤和值新增至訂用帳戶。如果標籤以不同的值存在，則不會遭到變更。如需原則補救的詳細資訊，請參閱 https://aka.ms/azurepolicyremediation。	修改	1.0.0
新增或置換資源群組上的標籤	當建立或更新了任何資源群組時，便新增或取代此標籤和值。您可以藉由觸發補救工作來補救現有的資源群組。	修改	1.0.0
新增或置換資源上的標籤	當建立或更新了任何資源時，便新增或取代此標籤和值。您可以藉由觸發補救工作來補救現有的資源。資源群組上的標記不會修改。	修改	1.0.0
新增或取代訂用帳戶上的標籤	透過補救工作，在訂用帳戶上新增或取代指定的標籤和值。您可以藉由觸發補救工作來補救現有的資源群組。如需原則補救的詳細資訊，請參閱 https://aka.ms/azurepolicyremediation。	修改	1.0.0
附加來自資源群組的標籤及其值	當建立或更新了任何遺失指定標籤的資源時，便附加來自資源群組的這個標籤及其值。在這些資源有所變更之前，不會修改在套用此原則之前所建立的資源標籤。有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。	附加	1.0.0
將標籤及其值附加至資源群組	當建立或更新了任何遺失指定標籤的資源群組時，便附加此標籤和值。在這些資源群組有所變更之前，不會修改在套用此原則之前所建立的資源群組標籤。有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。	附加	1.0.0
將標籤及其值附加至資源	當建立或更新了任何遺失指定標籤的資源時，便附加此標籤和值。在這些資源有所變更之前，不會修改在套用此原則之前所建立的資源標籤。不會套用至資源群組。有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。	附加	1.0.1
從資源群組繼承標籤	當建立或更新了任何資源時，新增或取代來自父代資源群組中的指定標籤和值。您可以藉由觸發補救工作來補救現有的資源。	修改	1.0.0
從資源群組繼承標籤 (若遺漏)	當建立或更新了任何遺失指定標籤的資源時，便新增來自父代資源群組的這個標籤及其值。您可以藉由觸發補救工作來補救現有的資源。如果標籤以不同的值存在，則不會遭到變更。	修改	1.0.0
從訂用帳戶繼承標籤	當建立或更新了任何資源時，新增或取代包含訂用帳戶中的指定標籤和值。您可以藉由觸發補救工作來補救現有的資源。	修改	1.0.0
若缺少標籤，則從訂用帳戶予以繼承	當建立或更新了任何遺失指定標籤的資源時，便新增來自包含訂用帳戶的這個標籤及其值。您可以藉由觸發補救工作來補救現有的資源。如果標籤以不同的值存在，則不會遭到變更。	修改	1.0.0
資源群組必須有標籤及其值	強制資源群組上必要的標籤及其值。	拒絕	1.0.0
資源必須有標籤及其值	強制必要標籤和其值。不會套用至資源群組。	拒絕	1.0.1
資源群組必須有標籤	施行資源群組必須具備標籤。	拒絕	1.0.0
資源必須有標籤	強制存在標籤。不會套用至資源群組。	拒絕	1.0.1

可信啟動

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
磁碟和 OS 映像應支援 TrustedLaunch	TrustedLaunch 可改善虛擬機器的安全性，虛擬機器需要 OS 磁碟和 OS 映像才能支援 (Gen 2)。若要深入了解 TrustedLaunch，請造訪 https://aka.ms/trustedlaunch	Audit, Disabled	1.0.0
虛擬機器應已啟用 TrustedLaunch	在虛擬機器上啟用 TrustedLaunch 以獲得增強的安全性，使用支援 TrustedLaunch 的 VM SKU (Gen 2)。若要深入了解 TrustedLaunch，請造訪 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch	Audit, Disabled	1.0.0

VirtualEnclaves

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
設定儲存體帳戶，以僅透過網路 ACL 略過設定來限制網路存取。	若要改善儲存體帳戶的安全性，請只透過網路 ACL 略過啟用存取。此原則應與私人端點搭配使用，以進行儲存體帳戶存取。	修改、停用	1.0.0
不允許在允許清單之外的資源類型建立	此原則可防止在明確允許類型之外部署資源類型，以維護虛擬記憶體保護區的安全性。 https://aka.ms/VirtualEnclaves	Audit, Deny, Disabled	1.0.0
不允許建立指定資源類型或特定提供者下的類型	在未經安全性小組明確核准的情況下，不允許建立透過參數清單指定的資源提供者和類型。如果將豁免授與原則指派，則可以在記憶體保護區內利用資源。 https://aka.ms/VirtualEnclaves	Audit, Deny, Disabled	1.0.0
網路介面應連線至已核准虛擬網路的已核准子網路	此原則會阻止網路介面連線到未核准的虛擬網路或子網路。 https://aka.ms/VirtualEnclaves	Audit, Deny, Disabled	1.0.0
儲存體帳戶應僅透過網路 ACL 略過設定來限制網路存取。	若要改善儲存體帳戶的安全性，請只透過網路 ACL 略過啟用存取。此原則應與私人端點搭配使用，以進行儲存體帳戶存取。	Audit, Deny, Disabled	1.0.0

VM Image Builder

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
VM 映像產生器範本應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至您的 VM Image Builder 建置資源，資料外洩風險就會降低。深入了解私人連結：https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。	稽核、停用、拒絕	1.1.0

Web PubSub

名稱 _{(Azure 入口網站)}	描述	效果	版本 _(GitHub)
Azure Web PubSub 服務應停用公用網路存取	停用公用網路存取權可確保 Azure Web PubSub 服務不會在公用網際網路上公開，進而改善安全性。建立私人端點可限制 Azure Web PubSub 服務的曝光程度。深入了解：https://aka.ms/awps/networkacls。	Audit, Deny, Disabled	1.0.0
Azure Web PubSub 服務應該啟用診斷記錄	稽核診斷記錄的啟用情形。這可讓您在發生安全性事件或網路遭到損害時，重新建立活動線索以供調查之用	AuditIfNotExists, Disabled	1.0.0
Azure Web PubSub 服務應停用本機驗證方法	停用本機驗證方法可確保 Azure Web PubSub 服務僅需要 Azure Active Directory 身分認證進行驗證，以提升安全性。	Audit, Deny, Disabled	1.0.0
Azure Web PubSub 服務應使用支援私人連結的 SKU	透過支援的 SKU，Azure Private Link 可讓您將虛擬網路連線至 Azure 服務，而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至 Azure Web PubSub 服務，就可以降低資料外洩風險。深入了解私人連結：https://aka.ms/awps/privatelink。	Audit, Deny, Disabled	1.0.0
Azure Web PubSub 服務應使用私人連結	Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至您的 Azure Web PubSub 服務，就可以降低資料外洩風險。深入了解私人連結：https://aka.ms/awps/privatelink。	Audit, Disabled	1.0.0
設定 Azure Web PubSub 服務以停用本機驗證	停用本機驗證方法，讓您的 Azure Web PubSub 服務完全需要 Azure Active Directory 身分識別進行驗證。	修改、停用	1.0.0
設定 Azure Web PubSub 服務以停用公用網路存取	停用 Azure Web PubSub 資源的公用網路存取，使其無法經由公用網際網路存取。這可降低資料洩漏風險。深入了解：https://aka.ms/awps/networkacls。	修改、停用	1.0.0
請設定 Azure Web PubSub 服務，以使用私人 DNS 區域	使用私人 DNS 區域來覆寫私人端點的 DNS 解析。私人 DNS 區域會連結至您的虛擬網路，以針對 Azure Web PubSub 服務進行解析。深入了解：https://aka.ms/awps/privatelink。	DeployIfNotExists, Disabled	1.0.0
使用私人端點設定 Azure Web PubSub 服務	私人端點會將您的虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。藉由將私人端點對應至 Azure Web PubSub 服務，就可以降低資料外洩風險。深入了解私人連結：https://aka.ms/awps/privatelink。	DeployIfNotExists, Disabled	1.0.0

下一步

請參閱 Azure 原則 GitHub 存放庫上的內建項目。
檢閱 Azure 原則定義結構。
檢閱了解原則效果。

分享方式：

Azure 原則的內建原則定義

API for FHIR

API 管理

應用程式設定

應用程式平台

應用程式服務

證明

Automanage

自動化

Azure Active Directory

Azure AI 服務

Azure Arc

Azure 資料總管

Azure Databricks

Azure Edge 硬體中心

Azure 負載測試

Azure Purview

Azure Stack Edge

Azure 更新管理員

Backup

Batch

機器人服務

Cache

CDN

ChangeTrackingAndInventory

認知服務

通訊

計算

容器應用程式

容器執行個體

容器執行個體

Container Registry

Cosmos DB

自訂提供者

資料箱

Data Factory

Data Lake

桌面虛擬化

DevCenter

DevOpsInfrastructure

ElasticSan

事件方格

事件中樞

流體轉送

一般

來賓設定

HDInsight

Health Bot

健康資料服務工作區

健康情況去身分識別服務

Healthcare API

物聯網

Key Vault

Kubernetes

實驗室服務

Lighthouse

Logic Apps

Machine Learning

受控應用程式

受控 Grafana

受控識別

地圖

媒體服務

移轉

行動網路

監視

網路

入口網站

PostgreSQL

復原能力

Search

資訊安全中心

資訊安全中心 - 細微價格

服務匯流排

Service Fabric

SignalR

Site Recovery

SQL

SQL 受控執行個體