Azure 原則 Azure Resource Manager 的內建定義
此頁面是 Azure Resource Manager Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure Resource Manager
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 對 Azure 資源具有擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 活動記錄至少應保留一年 | 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 | AuditIfNotExists, Disabled | 1.0.0 |
| 將標籤新增至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
| 將標籤新增至訂用帳戶 | 透過補救工作,將指定的標籤和值新增至訂用帳戶。 如果標籤以不同的值存在,則不會遭到變更。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | 修改 | 1.0.0 |
| 新增或置換資源群組上的標籤 | 當建立或更新了任何資源群組時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 | 修改 | 1.0.0 |
| 新增或取代訂用帳戶上的標籤 | 透過補救工作,在訂用帳戶上新增或取代指定的標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | 修改 | 1.0.0 |
| 允許資源群組的位置 | 此原則可讓您限制貴組織可在其中建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 將標籤及其值附加至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便附加此標籤和值。 在這些資源群組有所變更之前,不會修改在套用此原則之前所建立的資源群組標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
| 稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| 必須部署 Azure 監視器解決方案「安全性與稽核」 | 此原則可確保已部署安全性與稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 活動記錄以串流至指定 Log Analytics 工作區 | 部署 Azure 活動的診斷設定,以將訂閱稽核記錄串流至 Log Analytics 工作區,以監視訂閱層級的事件 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用之適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的適用於 Azure SQL 資料庫的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定要啟用的適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的基本適用於儲存體的 Microsoft Defender (僅限活動監視) | 適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。 此原則會啟用基本適用於儲存體的 Defender 功能 (活動監視)。 若要啟用完整保護,其中也包含上傳惡意程式碼掃描和敏感性資料威脅偵測,請使用完整啟用原則:aka.ms/DefenderForStoragePolicy。 若要深入了解適用於儲存體的 Defender 功能和優點,請造訪 aka.ms/DefenderForStorage。 | DeployIfNotExists, Disabled | 1.1.0 |
| 啟用 Azure Site Recovery 的複寫功能,以在虛擬機器上設定災害復原 | 沒有災害復原設定的虛擬機器很容易因停電和其他服務中斷而受到影響。 如果虛擬機器尚未設定災害復原,這項原則會啟用預設設定來啟用複寫功能,藉以協助商務持續運作。 您可以選擇性地納入/排除包含指定標記的虛擬機器,以控制指派的範圍。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | DeployIfNotExists, Disabled | 2.1.0 |
| 設定 Log Analytics 工作區和自動化帳戶以集中記錄及監視 | 部署包含 Log Analytics 工作區和已連結自動化帳戶的資源群組,以集中記錄及監視。 自動化帳戶是更新 (Updates) 和變更追蹤 (Change Tracking) 等解決方案的必要條件。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
| 設定 Microsoft Defender CSPM 方案 | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | DeployIfNotExists, Disabled | 1.0.2 |
| 設定要啟用的適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於容器的 Microsoft Defender 方案 | 新功能會持續新增至適用於容器的 Defender 方案,這可能需要使用者的明確啟用。 使用此原則可確保所有新功能都會啟用。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | DeployIfNotExists, Disabled | 1.0.1 |
| 使用適用於雲端的 Microsoft Defender (WDATP_EXCLUDE_LINUX...) 設定適用於端點的 Microsoft Defender 整合設定 | 在適用於雲端的 Microsoft Defender (也稱為 WDATP_EXCLUDE_LINUX_...) 內設定適用於端點的 Microsoft Defender 整合設定,以啟用適用於 Linux 伺服器的 MDE 的自動佈建。 必須開啟 WDATP 設定,才能套用此設定。 如需相關資訊,請參閱 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用適用於雲端的 Microsoft Defender (WDATP_UNIFIED_SOLUTION) 設定適用於端點的 Microsoft Defender 整合設定 | 在適用於雲端的 Microsoft Defender (也稱為 WDATP_UNIFIED_SOLUTION) 內設定適用於端點的 Microsoft Defender 整合設定,以啟用適用於 Windows Server 2012R2 和 2016 的 MDE 統一代理程式的自動佈建。 必須開啟 WDATP 設定,才能套用此設定。 如需相關資訊,請參閱 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用適用於雲端的 Microsoft Defender (WDATP) 設定適用於端點的 Microsoft Defender 整合設定 | 在適用於雲端的 Microsoft Defender (也稱為 WDATP) 內設定適用於端點的 Microsoft Defender 整合設定,讓 Windows 舊版機器透過 MMA 上線到 MDE,並且在 Windows Server 2019、Windows 虛擬桌面和更新版本上自動佈建 MDE。 必須開啟,其他設定 (WDATP_UNIFIED 等等) 才能運作。 如需相關資訊,請參閱 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於 Key Vault 的 Microsoft Defender 方案 | 適用於 Key Vault 的 Microsoft Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定適用於伺服器的 Microsoft Defender 方案 | 新功能會持續新增至適用於伺服器的 Defender 方案,這可能需要使用者的明確啟用。 使用此原則可確保所有新功能都會啟用。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | DeployIfNotExists, Disabled | 1.0.2 |
| 設定要啟用的適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。 此原則會啟用所有適用於儲存體的 Defender 功能;活動監視、惡意程式碼掃描和敏感性資料威脅偵測。 若要深入了解適用於儲存體的 Defender 功能和優點,請造訪 aka.ms/DefenderForStorage。 | DeployIfNotExists, Disabled | 1.3.0 |
| 設定訂用帳戶以設定預覽功能 | 此原則會評估現有訂用帳戶的預覽功能。 您可以補救訂用帳戶以註冊至新的預覽功能。 新的訂用帳戶不會自動註冊。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 部署 - 設定 Azure 資訊安全中心警示的隱藏規則 | 為您的管理群組或訂閱部署隱藏規則,以隱藏 Azure 資訊安全中心警示,避免警示疲乏。 | deployIfNotExists | 1.0.0 |
| 針對適用於雲端的 Microsoft Defender 資料,以信任的服務形式將匯出部署至事件中樞 | 將適用於雲端的 Microsoft Defender 資料以信任的服務形式匯出至事件中樞。 此原則會在指派的範圍內,使用您的條件和目標事件中樞,以信任的服務組態形式將匯出部署至事件中樞。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | DeployIfNotExists, Disabled | 1.0.0 |
| 針對適用於雲端的 Microsoft Defender 資料將匯出部署至事件中樞 | 啟用將適用於雲端的 Microsoft Defender 資料匯出至事件中樞。 此原則會在指派的範圍內,使用您的條件和目標事件中樞,部署匯出至事件中樞設定。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 4.2.0 |
| 針對適用於雲端的 Microsoft Defender 資料部署匯出至 Log Analytics 工作區的功能 | 啟用將適用於雲端的 Microsoft Defender 資料匯出至 Log Analytics 工作區。 此原則會在指派的範圍內,使用您的條件和目標工作區,部署匯出至 Log Analytics 工作區設定。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 4.1.0 |
| 針對適用於雲端的 Microsoft Defender 警示來部署工作流程自動化 | 啟用將適用於雲端的 Microsoft Defender 警示自動化。 此原則會在指派的範圍內,使用您的條件和觸發程序,來部署工作流程自動化。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 5.0.1 |
| 針對適用於雲端的 Microsoft Defender 建議來部署工作流程自動化 | 啟用將適用雲端的 Microsoft Defender 建議自動化。 此原則會在指派的範圍內,使用您的條件和觸發程序,來部署工作流程自動化。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 5.0.1 |
| 針對適用於雲端的 Microsoft Defender 法規合規性部署工作流程自動化 | 啟用將適用於雲端的 Microsoft Defender 法規合規性自動化。 此原則會在指派的範圍內,使用您的條件和觸發程序,來部署工作流程自動化。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 5.0.1 |
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
| 在您的訂閱上啟用適用於雲端的 Microsoft Defender | 識別未受適用於雲端的 Microsoft Defender 監視的現有訂閱,並使用適用於雲端的 Defender 免費功能保護這些訂閱。 已受監視的訂閱則視為符合規範。 若要註冊新建立的訂閱,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 1.0.1 |
| 使用自訂工作區,讓資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式。 | 允許資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式,以使用自訂的工作區監視及收集安全性資料。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用預設工作區,讓資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式。 | 允許資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式,以使用 ASC 預設工作區監視及收集安全性資料。 | DeployIfNotExists, Disabled | 1.0.0 |
| 排除使用量成本資源 | 此原則可讓您排除使用量成本資源。 使用量成本包括計量付費儲存體和 Azure 資源等項目,這些項目會根據使用量計費。 | Audit, Deny, Disabled | 1.0.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 這有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的價格結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 資源群組必須有標籤及其值 | 強制資源群組上必要的標籤及其值。 | 拒絕 | 1.0.0 |
| 資源群組必須有標籤 | 施行資源群組必須具備標籤。 | 拒絕 | 1.0.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| 訂用帳戶應設定 Azure 防火牆進階版以提供額外一層保護 | Azure 防火牆進階版提供進階威脅防護,其可滿足高度敏感性和受管制環境的需求。 將 Azure 防火牆進階版部署至您的訂用帳戶,並確定所有服務流量都受到 Azure 防火牆進階版保護。 若要深入了解 Azure 防火牆進階版,請參閱https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。