適用於 Azure AI 服務的 Azure 原則內建原則定義
此頁面是適用於 Azure AI 服務的 Azure 原則內建原則定義索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure AI 服務
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務。 | Audit, Deny, Disabled | 3.2.0 |
| 認知服務帳戶應使用客戶自控金鑰來啟用資料加密 | 客戶自控金鑰通常需要符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密儲存在認知服務中的資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解客戶自控金鑰:https://go.microsoft.com/fwlink/?linkid=2121321。 | Audit, Deny, Disabled | 2.1.0 |
| 認知服務帳戶應使用受控識別 | 將受控識別指派給您的認知服務帳戶,有助於確保進行安全驗證。 此認知服務帳戶會使用此身分識別,以如 Azure Key Vault 等安全的方式與其他 Azure 服務通訊,而不需管理任何認證。 | Audit, Deny, Disabled | 1.0.0 |
| 認知服務帳戶應使用客戶擁有的儲存體 | 使用客戶擁有的儲存體來控制在認知服務中儲存的待用資料。 若要深入瞭解客戶擁有的儲存體,請造訪 https://aka.ms/cogsvc-cmk。 | Audit, Deny, Disabled | 2.0.0 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 設定 Azure AI 服務資源以停用本機金鑰存取(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| 設定認知服務帳戶以停用本機驗證方法 | 停用本機驗證方法,讓您的認知服務帳戶要求 Azure Active Directory 以獨佔方式識別來進行驗證。 深入了解:https://aka.ms/cs/auth。 | 修改、停用 | 1.0.0 |
| 設定認知服務帳戶以停用公用網路存取 | 停用認知服務資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://go.microsoft.com/fwlink/?linkid=2129800。 | 已停用,修改 | 3.0.0 |
| 使用私人端點設定認知服務帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | DeployIfNotExists, Disabled | 3.0.0 |
| 應啟用 Azure AI 服務資源中的診斷記錄 | 啟用 Azure AI 服務資源的記錄。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
| 啟用認知服務 (microsoft.cognitiveservices/accounts) 至事件中樞的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的事件中樞 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用認知服務 (microsoft.cognitiveservices/accounts) 至 Log Analytics 的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的 Log Analytics 工作區 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 啟用認知服務 (microsoft.cognitiveservices/accounts) 至儲存體的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的儲存體帳戶 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應