Azure 備份的內建定義 Azure 原則
此頁面是 Azure 備份 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure 備份
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure 復原服務保存庫應該停用公用網路存取 | 停用公用網路存取可確保復原服務保存庫不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制復原服務保存庫的曝光程度。 深入了解:https://aka.ms/AB-PublicNetworkAccess-Deny。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:Azure 復原服務保存庫應使用私人連結進行備份 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure 復原服務保存庫,可降低資料洩漏風險。 深入了解私人連結:https://aka.ms/AB-PrivateEndpoints。 | Audit, Disabled | 2.0.0-preview |
| [預覽]:備份和 Site Recovery 應該是「區域備援」 | 備份和 Site Recovery 可以設定為「區域備援」。 如果備份和 Site Recovery 的 'standardTierStorageRedundancy' 屬性設定為 'ZoneRedundant',則其為「區域備援」。 強制執行此原則有助於確保您的備份和 Site Recovery 已適當地設定為區域復原,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:設定 Azure 復原服務保存庫以停用公用網路存取 | 停用復原服務保存庫的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/AB-PublicNetworkAccess-Deny。 | 修改、停用 | 1.0.0-preview |
| [預覽版]:在 Azure 復原服務保存庫上設定私人端點 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至復原服務保存庫的站台復原資源,可降低資料洩漏風險。 若要使用私人連結,必須將受控服務識別指派給復原服務保存庫。 深入了解私人連結:https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定復原服務保存庫,以使用私人端點進行備份 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至復原服務保存庫,有助於降低資料洩漏風險。 請注意,您的保存庫必須符合特定先決條件,才能符合私人端點設定的資格。 深入了解:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:停用 Azure 復原服務保存庫的跨訂用帳戶還原 | 停用或永久停用復原服務保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrenhancements。 | 修改、停用 | 1.1.0-preview |
| [預覽]:不允許建立所選擇儲存體備援的復原服務保存庫。 | 復原服務保存庫現在可以透過三個儲存體備援選項中的任何一個來建立,也就是本機備援儲存體、區域備援儲存體和異地備援儲存體。 如果貴組織中的原則要求您封鎖建立屬於特定備援類型的保存庫,您可以使用此 Azure 原則來達成相同的目標。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
| [預覽]:復原服務保存庫必須啟用不變性 | 此原則會稽核範圍中復原服務保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
| [預覽]:必須針對復原服務保存庫啟用多使用者授權 (MUA)。 | 此原則會稽核復原服務保存庫是否已啟用多使用者授權 (MUA)。 MUA 藉由將額外的保護層新增至關鍵作業,協助保護您的復原服務保存庫。 若要深入了解,請瀏覽 https://aka.ms/MUAforRSV。 | Audit, Disabled | 1.0.0-preview |
| [預覽版]:復原服務保存庫應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure 復原服務保存庫,可降低資料洩漏風險。 若要深入了解 Azure Site Recovery 的私人連結,請參閱:https://aka.ms/HybridScenarios-PrivateLink 和 https://aka.ms/AzureToAzure-PrivateLink。 | Audit, Disabled | 1.0.0-preview |
| [預覽]:復原服務保存庫必須啟用虛刪除。 | 此原則會稽核範圍中復原服務保存庫的虛刪除是否已啟用。 虛刪除可協助您復原資料,即使在資料已刪除之後也一樣。 請至https://aka.ms/AB-SoftDelete,即可深入瞭解。 | Audit, Disabled | 1.0.0-preview |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為位於相同位置的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
| 為復原服務保存庫將診斷設定部署到 Log Analytics 工作區,以納入資源專屬類別。 | 為復原服務保存庫將診斷設定部署到 Log Analytics 工作區,以串流至資源專屬類別。 如果沒有啟用任何資源專屬類別,則會建立新的診斷設定。 | deployIfNotExists | 1.0.2 |
| 針對復原服務保存庫 (microsoft.recoveryservices/vaults) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對復原服務保存庫 (microsoft.recoveryservices/vaults) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對復原服務保存庫 (microsoft.recoveryservices/vaults) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對復原服務保存庫 (microsoft.recoveryservices/vaults) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對復原服務保存庫 (microsoft.recoveryservices/vaults) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對復原服務保存庫 (microsoft.recoveryservices/vaults) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。