Azure 原則內建方案定義
本頁面是 Azure 原則內建計劃定義的索引。
在 Azure 原則 GitHub 存放庫上,每個內建連結的名稱都與方案定義來源相關。 內建方案會依照中繼資料中的類別屬性來分組。 若要移至特定類別,請使用 Ctrl-F 來取得瀏覽器的搜尋功能。
Automanage
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:針對 Automanage 最佳做法來稽核設定 | Automanage 機器最佳做法可確保受控資源會根據指派的組態設定檔中所定義的所需狀態進行設定。 | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:啟用已啟用 Arc 之虛擬機器的 ChangeTracking 和 Inventory | 啟用已啟用 Arc 之虛擬機器的 ChangeTracking 和 Inventory。 採用資料收集規則識別碼作為參數,並要求用來輸入適用位置的選項。 | 6 | 1.0.0-preview |
| [預覽]:啟用虛擬機器擴展集的 ChangeTracking 和 Inventory | 啟用虛擬機器擴展集的 ChangeTracking 和 Inventory。 採用資料收集規則識別碼作為參數,並要求用來為 Azure 監視器代理程式輸入適用位置和使用者指派身分識別的選項。 | 7 | 1.0.0-preview |
| [預覽]:啟用虛擬機器的 ChangeTracking 和 Inventory | 啟用虛擬機器的 ChangeTracking 和 Inventory。 採用資料收集規則識別碼作為參數,並要求用來為 Azure 監視器代理程式輸入適用位置和使用者指派身分識別的選項。 | 7 | 1.0.0-preview |
Cosmos DB
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| 啟用 Azure Cosmos DB 輸送量原則 | 針對指定範圍 (管理群組、訂用帳戶或資源群組) 中的 Azure Cosmos DB 資源啟用輸送量控制。 採用最大輸送量作為參數。 使用此原則可協助透過資源提供者強制執行輸送量控制。 | 2 | 1.0.0 |
一般
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| 允許使用量成本資源 | 允許部署資源,但 MCPP、M365 除外。 | 2 | 1.0.0 |
來賓設定
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:使用使用者指派的受控識別部署必要條件,以在虛擬機器上啟用客體設定原則 | 此計畫會新增使用者指派的受控識別,並將適合平台的客體設定延伸模組部署到可由客體設定原則監視的虛擬機器。 這是所有客體設定原則的必要條件,必須先指派給原則指派範圍,才能使用任何客體設定原則。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 3 | 1.0.0-preview |
| [預覽]:Windows 機器應符合 Azure 計算安全性基準的需求 | 此方案使用不符合 Azure 計算安全性基準的設定來稽核 Windows 電腦。 如需詳細資訊,請造訪 https://aka.ms/gcpol | 29 | 2.0.1-preview |
| 稽核密碼安全性設定不安全的電腦 | 此方案會部署原則需求,並針對使用不安全密碼安全性設定的電腦進行稽核。 如需有關客體設定原則的詳細資訊,請造訪 https://aka.ms/gcpol | 9 | 1.1.0 |
| 在 Windows 機器上設定安全通訊協定 (TLS 1.1 或 TLS 1.2) (包括必要條件) | 建立來賓設定指派 (包括必要條件),以在 Windows 機器上設定指定的安全通訊協定版本 (TLS 1.1 或 TLS 1.2) 如需詳細資訊,請造訪 https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| 部署必要條件,以在虛擬機器上啟用來賓設定原則 | 此計畫會新增系統指派的受控識別,並將適合平台的客體設定延伸模組部署到可由客體設定原則監視的虛擬機器。 這是所有客體設定原則的必要條件,必須先指派給原則指派範圍,才能使用任何客體設定原則。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 4 | 1.0.0 |
Kubernetes
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:使用映像完整性來確保只會部署受信任的映像 | 使用映像完整性,藉由在 AKS 叢集上啟用映像完整性和 Azure 原則附加元件,以確保 AKS 叢集只會部署受信任的映像。 映像完整性附加元件和 Azure 原則附加元件都是在部署時使用映像完整性來驗證映像是否已簽署的必要條件。 如需詳細資訊,請造訪 https://aka.ms/aks/image-integrity。 | 3 | 1.1.0-preview |
| [預覽]:部署保全措施應協助引導開發人員採用 AKS 建議的最佳做法 | Azure Kubernetes Service (AKS) 所建議的 Kubernetes 最佳做法集合。 為了獲得最佳體驗,請使用部署保全措施來指派此原則方案:https://aka.ms/aks/deployment-safeguards。 適用於 AKS 的 Azure 原則附加元件是將這些最佳做法套用至叢集的必要條件。 如需 Azure 原則附加元件的啟用指示,請移至 aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| 適用於以 Linux 為基礎之工作負載的 Kubernetes 叢集 Pod 安全性基準標準 | 此計畫包含 Kubernetes 叢集 Pod 安全性基準標準的原則。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需使用此原則的指示,請造訪 https://aka.ms/kubepolicydoc。 | 5 | 1.4.0 |
| 適用於以 Linux 為基礎之工作負載的 Kubernetes 叢集 Pod 安全性限制標準 | 此計畫包含 Kubernetes 叢集 Pod 安全性受限標準的原則。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需使用此原則的指示,請造訪 https://aka.ms/kubepolicydoc。 | 8 | 2.5.0 |
受控識別
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:受控識別同盟認證應該是來自已核准同盟來源的已核准類型 | 控制受控識別的同盟認證使用。 此方案包含完全封鎖同盟身分識別認證的原則,可將使用範圍限制在特定同盟提供者類型,以及將同盟關聯性限制在已核准的來源。 | 3 | 1.0.0-preview |
監視
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:在虛擬機器上設定適用於 SQL 的 Azure Defender 代理程式 | 設定虛擬機器,在已安裝 Azure 監視器代理程式的位置,自動安裝適用於 SQL 的 Azure Defender 代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 在與機器相同的區域中建立資源群組和 Log Analytics 工作區。 此原則僅適用於幾個區域中的 VM。 | 2 | 1.0.0-preview |
| 設定 Linux 虛擬機器以執行 Azure 監視器代理程式,並將其與資料收集規則建立關聯 | 藉由部署 Azure 監視器代理程式擴展集,並將機器與指定的資料收集規則建立關聯,以監視及保護 Linux 虛擬機器、虛擬機器擴展集和 Arc 機器。 會部署在支援的區域中具備支援的作業系統影像的電腦 (或與提供的影像清單相符的電腦)上。 | 4 | 3.2.0 |
| 設定 Windows 虛擬機器以執行 Azure 監視器代理程式,並將其與資料收集規則建立關聯 | 藉由部署 Azure 監視器代理程式擴展集,並將機器與指定的資料收集規則建立關聯,以監視及保護 Windows 虛擬機器、虛擬機器擴展集和 Arc 機器。 會部署在支援的區域中具備支援的作業系統影像的電腦 (或與提供的影像清單相符的電腦)上。 | 4 | 3.2.0 |
| 使用使用者指派的受控識別型驗證部署 Linux Azure 監視器代理程式,並與資料收集規則建立關聯 | 透過使用使用者指派的受控識別驗證部署 Azure 監視器代理程式延伸模組,並與指定的資料收集規則建立關聯,以監視您的 Linux 虛擬機器和虛擬機器擴展集。 Azure 監視器代理程式會部署在支援的區域中具備支援的作業系統映像的電腦 (或與提供的映像清單相符的電腦) 上。 | 5 | 2.3.0 |
| 使用使用者指派的受控識別型驗證部署 Windows Azure 監視器代理程式,並與資料收集規則建立關聯 | 透過使用使用者指派的受控識別驗證部署 Azure 監視器代理程式延伸模組,並與指定的資料收集規則建立關聯,以監視您的 Windows 虛擬機器和虛擬機器擴展集。 Azure 監視器代理程式會部署在支援的區域中具備支援的作業系統映像的電腦 (或與提供的映像清單相符的電腦) 上。 | 5 | 2.3.0 |
| 針對受支援的資源啟用目的地為事件中樞的稽核類別群組資源記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此方案會使用稽核類別群組來部署診斷設定,以將所有受支援資源的記錄路由傳送至事件中樞 | 33 | 1.0.0 |
| 針對受支援的資源啟用目的地為 Log Analytics 的稽核類別群組資源記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此方案會使用稽核類別群組來部署診斷設定,以將所有受支援資源的記錄路由傳送至 Log Analytics。 | 33 | 1.0.0 |
| 針對受支援的資源啟用目的地為儲存體的稽核類別群組資源記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此方案會使用稽核類別群組來部署診斷設定,以將所有受支援資源的記錄路由傳送至儲存體。 | 33 | 1.0.0 |
| 使用 AMA 啟用適用於混合式 VM 的 Azure 監視器 | 使用 AMA 啟用適用於混合式虛擬機器的 Azure 監視器。 | 6 | 1.0.0 |
| 使用 Azure 監視代理程式 (AMA) 啟用適用於 VM 的 Azure 監視器 | 使用 AMA 啟用適用於虛擬機器 (VM) 的 Azure 監視器。 | 7 | 1.0.0 |
| 使用 Azure 監視代理程式 (AMA) 啟用適用於 VMSS 的 Azure 監視器 | 使用 AMA 啟用適用於虛擬機器擴展集 (VMSS) 的 Azure 監視器。 | 7 | 1.0.0 |
| 舊版 - 啟用適用於虛擬機器擴展集的 Azure 監視器 | 舊版 - 在指定的範圍 (管理群組、訂閱或資源群組) 中啟用適用於虛擬機器擴展集的 Azure 監視器。 請使用 Log Analytics 工作區作為參數。 請使用以下名稱的新方案:使用 Azure 監視代理程式 (AMA) 啟用適用於 VMSS 的 Azure 監視器。 注意:如果您的擴展集 upgradePolicy 設為 Manual,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 | 6 | 1.0.2 |
| 舊版 - 啟用適用於 VM 的 Azure 監視器 | 在指定的範圍 (管理群組、訂閱或資源群組) 中啟用適用於虛擬機器 (VM) 的 Azure 監視器。 請使用 Log Analytics 工作區作為參數。 請使用以下名稱的新方案:使用 Azure 監視代理程式 (AMA) 啟用適用於 VM 的 Azure 監視器 | 10 | 2.0.1 |
網路
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| 應為每個網路安全性群組設定及啟用流量記錄 | 稽核網路安全性群組以確認是否已設定流量記錄,以及是否已啟用流量記錄狀態。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 2 | 1.0.0 |
「法規合規性」
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:澳洲政府受保護 ISM | 此方案包含可處理一部分的澳洲政府資訊安全手冊 (ISM) 控制的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/auism-initiative。 | 54 | 8.2.2-preview |
| [預覽]:CMMC 2.0 等級 2 | 此方案包含可處理一部分 CMMC 2.0 層級 2 做法的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/cmmc2l2-initiative。 | 247 | 2.10.0-preview |
| [預覽]:美國電影協會 (MPAA) | 此方案包含可處理部分美國電影協會 (MPAA) 安全性和方針控制的稽核與虛擬機器擴充功能部署原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/mpaa-init。 | 36 | 4.1.0-preview |
| [預覽]:印度儲備銀行 - 適用於銀行的 IT 架構 | 此方案包含多項原則,可處理適用於銀行控制項的印度儲備銀行 IT 架構子集。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/rbiitfbanks-initiative。 | 171 | 1.10.0-preview |
| [預覽]:印度儲備銀行 - 適用於 NBFC 的 IT 架構 | 此方案包含適用於非銀行金融公司 (NBFC) 控制措施之印度 IT 架構子集的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/rbiitfnbfc-initiative。 | 134 | 2.8.0-preview |
| [預覽]:Sovereignty 基準 - 機密原則 | Microsoft Cloud for Sovereignty 建議機密原則,以協助組織達成其主權目標,預設拒絕在核准的區域外建立資源、拒絕 Azure 機密運算不支援的資源,以及拒絕未使用客戶自控金鑰的資料儲存體資源。 在這裡可以找到更多詳細資訊:https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [預覽]:Sovereignty 基準 - 全域原則 | Microsoft Cloud for Sovereignty 建議全域原則,以協助組織達成其主權目標,預設拒絕在核准的區域外建立資源。 在這裡可以找到更多詳細資訊:https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [預覽]:SWIFT CSP-CSCF v2020 | 此方案包含可處理部分 SWIFT CSP-CSCF v2020 控制的稽核與虛擬機器擴充功能部署原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/swift2020-init。 | 59 | 6.1.0-preview |
| [預覽]:SWIFT CSP-CSCF v2021 | 此方案包含可解決 SWIFT 客戶安全性計畫客戶安全性控制架構 v2021 控制項子集的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/swift2021-init。 | 138 | 4.6.0-preview |
| 適用於 Microsoft 365 認證的 ACAT | 適用於 Microsoft 365 的應用程式合規性自動化工具 (ACAT) 可簡化達成 Microsoft 365 認證的程序,請參閱 https://aka.ms/acat。 此認證可確保應用程式備有強大的安全性與合規性做法,可保護客戶資料、安全性和隱私權。 此方案包含能夠因應一部分 Microsoft 365 認證控制的原則。 其他原則將會新增在即將推出的版本中。 | 24 | 1.0.0 |
| 加拿大聯邦 PBMM | 此方案包含能夠因應一部分加拿大聯邦 PBMM 控制的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/canadafederalpbmm-init。 | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | 網際網路安全性中心 (CIS) 是非營利組織實體,其任務是「識別、開發、驗證、推廣及維持網路保護的最佳做法解決方案」。 CIS 基準是安全設定系統的設定基準和最佳做法。 這些原則可處理 CIS Microsoft Azure 基礎基準第 1.1.0 版控制項的子集。 如需詳細資訊,請造訪 https://aka.ms/cisazure110-initiative | 163 | 16.4.0 |
| CIS Microsoft Azure 基礎基準第 1.3.0 版 | 網際網路安全性中心 (CIS) 是非營利組織實體,其任務是「識別、開發、驗證、推廣及維持網路保護的最佳做法解決方案」。 CIS 基準是安全設定系統的設定基準和最佳做法。 這些原則可解決 CIS Microsoft Azure 基礎基準第 1.3.0 版控制項的子集。 如需詳細資訊,請造訪 https://aka.ms/cisazure130-initiative | 176 | 8.6.0 |
| CIS Microsoft Azure 基礎基準第 1.4.0 版 | 網際網路安全性中心 (CIS) 是非營利組織實體,其任務是「識別、開發、驗證、推廣及維持網路保護的最佳做法解決方案」。 CIS 基準是安全設定系統的設定基準和最佳做法。 這些原則可解決 CIS Microsoft Azure 基礎基準第 1.4.0 版控制項的子集。 如需詳細資訊,請造訪 https://aka.ms/cisazure140-initiative | 175 | 1.7.0 |
| CIS Microsoft Azure 基礎基準第 2.0.0 版 | 網際網路安全性中心 (CIS) 是非營利組織實體,其任務是「識別、開發、驗證、推廣及維持網路保護的最佳做法解決方案」。 CIS 基準是安全設定系統的設定基準和最佳做法。 這些原則可處理 CIS Microsoft Azure 基礎基準第 2.0.0 版控制項的子集。 如需詳細資訊,請造訪 https://aka.ms/cisazure200-initiative | 211 | 1.1.0 |
| CMMC 第 3 級 | 此方案包含可解決網路安全性成熟度模型認證 (CMMC) 3 級需求子集的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/cmmc-initiative。 | 162 | 11.6.0 |
| FedRAMP 高等級 | FedRAMP 為美國政府層面的計劃,提供雲端式產品與服務的安全評估、授權及持續監視的標準方法。 FedRAMP 會根據 NIST 基準主控項,來定義一組低度、中度或高度安全性影響等級系統的控制項。 這些原則可處理 FedRAMP (高度) 控制項的子集。 如需詳細資訊,請造訪 https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp | 732 | 17.11.0 |
| FedRAMP 中 | FedRAMP 為美國政府層面的計劃,提供雲端式產品與服務的安全評估、授權及持續監視的標準方法。 FedRAMP 會根據 NIST 基準主控項,來定義一組低度、中度或高度安全性影響等級系統的控制項。 這些原則可處理 FedRAMP (中度) 控制項的子集。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請造訪 https://www.fedramp.gov/documents-templates/ | 663 | 17.10.0 |
| HITRUST/HIPAA | 健康資訊信任聯盟 (HITRUST) 可協助所有部門中的組織 (特別是醫療保健) 有效地管理資料、資訊風險以及合規性。 HITRUST 認證表示組織已進行徹底的評估資訊安全計劃。 這些原則可處理 HITRUST 控制項的子集。 如需詳細資訊,請造訪 https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 | 610 | 14.3.0 |
| IRS1075 September 2016 | 此方案包含能夠因應一部分 IRS1075 September 2016 控制的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/irs1075-init。 | 60 | 8.1.0 |
| ISO 27001:2013 | 國際標準組織 (ISO) 27001 標準提供建立、實作、維護及持續改善資訊安全性管理系統 (ISMS) 的需求。 這些原則可處理 ISO 27001:2013 控制項的子集。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請造訪 https://aka.ms/iso27001-init | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | 美國國家標準暨技術研究院 (NIST) 推廣及維護測量標準和指導方針,以協助保護聯邦機構的資訊和資訊系統。 為回應管理受控未分類資訊 (CUI) 的行政命令 13556,其發佈了 NIST SP 800-171。 這些原則可處理 NIST SP 800-171 Rev. 2 控制項的子集。 如需詳細資訊,請造訪 https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | 國家標準暨技術研究院 (NIST) SP 800-53 R4 提供標準化的方法,可用於評估、監視及授權雲端運算產品和服務,以管理資訊安全風險。這些原則可處理 NIST SP 800-53 R4 控制項的子集。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請造訪 https://aka.ms/nist800-53r4-initiative | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | 國家標準暨技術研究院 (NIST) SP 800-53 Rev. 5 提供標準化的方法,可用於評估、監視及授權雲端運算產品和服務,以管理資訊安全風險。 這些原則可處理 NIST SP 800-53 R5 控制項的子集。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請造訪 https://aka.ms/nist800-53r5-initiative | 718 | 14.10.0 |
| NL BIO 雲端主題 | 此方案包含可專門針對「thema-uitwerking Clouddiensten」處理 Dutch Baseline Informatiebeveiliging (BIO) 控制的原則,並包含根據 SOC2 和 ISO 27001:2013 控制所涵蓋的原則。 | 251 | 1.4.0 |
| PCI DSS v4 | 支付卡產業 (PCI) 資料安全性標準 (DSS) 是全球性的資訊安全標準,其設計目的是要透過提高信用卡資料的控制權來防止詐騙。 任何從事儲存、處理或傳輸付款和持卡人資料的組織都必須符合 PCI DSS 規範。 這些原則可處理 PCI-DSS v4 控制項的子集。 如需詳細資訊,請造訪 https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 | 277 | 1.1.0 |
| PCI v3.2.1:2018 | 此方案包含能夠因應一部分 PCI v3.2.1:2018 控制的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請瀏覽 https://aka.ms/pciv321-init。 | 36 | 6.1.0 |
| RMIT 馬來西亞 | 此方案包含能夠因應一部分 RMIT 需求的原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請造訪 aka.ms/rmit-initiative。 | 208 | 9.7.0 |
| SOC 2 Type 2 | 系統與組織控制 (SOC) 2 是一份以美國會計師協會 (AICPA) 所建立的信任服務原則與準則為基礎的報告。 報告會評估與下列原則相關的組織資訊系統:安全性、可用性、處理完整性、機密性及隱私權。 這些原則可處理 SOC 2 第 2 類控制項的子集。 如需詳細資訊,請造訪 https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | SWIFT 的客戶安全性計劃 (CSP) 協助金融機構確保其針對網路攻擊的防護處於最新狀態且有效,以保護更廣泛的財務網路完整性。 使用者會針對其實作的安全性措施與客戶安全性控制架構 (CSCF) 中所詳述的安全性措施進行比較。 這些原則可處理 SWIFT 控制項的子集。 如需詳細資訊,請造訪 https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 | 343 | 2.3.0 |
| 英國官方和英國 NHS | 此方案包含可處理部分英國官方和英國 NHS 控制的稽核與虛擬機器擴充功能部署原則。 其他原則將會新增在即將推出的版本中。 如需詳細資訊,請造訪 https://aka.ms/ukofficial-init 和 https://aka.ms/uknhs-init。 | 57 | 9.1.0 |
復原能力
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:資源應該具有區域復原性 | 某些資源類型可以部署區域備援 (例如 SQL 資料庫);某些可以部署一致區域 (例如虛擬機器);某些可以部署一致區域或區域備援 (例如虛擬機器擴展集)。 一致區域 (zone aligned) 並不保證復原能力,但其為是否可建置復原解決方案的基礎 (例如,透過負載平衡器,三個虛擬機器擴展集區域 (zone) 與位於相同區域 (region) 中的三個不同區域 (zone) 一致)。 如需詳細資訊,請參閱 https://aka.ms/AZResilience。 | 34 | 1.10.0-preview |
SDN
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| 稽核公用網路存取 | 稽核允許從公用網際網路存取的 Azure 資源 | 35 | 4.2.0 |
| 評估所有受支援 Azure 資源的私人連結使用量 | 相容資源至少有一個核准的私人端點連線 | 30 | 1.1.0 |
資訊安全中心
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:部署適用於端點的 Microsoft Defender 代理程式 | 在適用的映像上部署適用於端點的 Microsoft Defender 代理程式。 | 4 | 1.0.0-preview |
| 設定在開放原始碼關聯式資料庫上啟用進階威脅防護 | 在非基本層開放原始碼關聯式資料庫上啟用進階威脅防護,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 請參閱 https://aka.ms/AzDforOpenSourceDBsDocu。 | 5 | 1.2.0 |
| 設定在 SQL Server 和 SQL 受控執行個體上啟用 Azure Defender | 在 SQL Server 和 SQL 受控執行個體上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | 3 | 3.0.0 |
| 設定適用於雲端的 Microsoft Defender 方案 | 適用於雲端的 Microsoft Defender 可提供多重雲端環境中從開發到執行階段的完整雲端原生保護。 請使用此原則方案來設定適用於雲端的 Defender 方案和延伸模組,以在選取的範圍上啟用。 | 11 | 1.0.0 |
| 設定要啟用的適用於資料庫的 Microsoft Defender | 設定適用於資料庫的 Microsoft Defender,以保護您的 Azure SQL Database、受控執行個體、開放原始碼關聯式資料庫及 Cosmos DB。 | 4 | 1.0.0 |
| 設定適用於端點的 Microsoft Defender 與適用於雲端的 Microsoft Defender 的多個整合設定 | 設定適用於端點的 Microsoft Defender 與適用於雲端的 Microsoft Defender 的多個整合設定 (WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTION 等等)。 請參閱:https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint,以取得詳細資訊。 | 3 | 1.0.0 |
| 設定 SQL VM 和已啟用 Arc 的 SQL Server,以使用 LA 工作區安裝適用於 SQL 和 AMA 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中,建立資源群組、資料收集規則和 Log Analytics 工作區。 | 9 | 1.2.1 |
| 設定 SQL VM 和已啟用 Arc 的 SQL Server,以使用使用者定義的 LA 工作區安裝適用於 SQL 和 AMA 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。 | 8 | 1.1.1 |
| Microsoft 雲端安全性基準 | Microsoft 雲端安全性基準方案代表實作 Microsoft 雲端安全性基準中所定義安全性建議的原則和控制,請參閱 https://aka.ms/azsecbm。 這也可做為適用於雲端的 Microsoft Defender 預設原則方案。 您可以直接指派此方案,或在適用於雲端的 Microsoft Defender 內管理其原則和合規性結果。 | 241 | 57.37.0 |
SQL
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| Azure SQL Database 應具有僅限 Microsoft Entra 驗證 | Azure SQL Database 需要僅限 Microsoft Entra 驗證,並停用本機驗證方法。 這會允許透過 Microsoft Entra 身分識別進行獨佔存取,使用新式驗證增強功能 (包括使用受控識別的 MFA、SSO 和無祕密程式設計存取) 來增強安全性。 | 2 | 1.0.0 |
| Azure SQL 受控執行個體應具有僅限 Microsoft Entra 驗證 | Azure SQL 受控執行個體需要僅限 Microsoft Entra 驗證,並停用本機驗證方法。 這會允許透過 Microsoft Entra 身分識別進行獨佔存取,使用新式驗證增強功能 (包括使用受控識別的 MFA、SSO 和無祕密程式設計存取) 來增強安全性。 | 2 | 1.0.0 |
Synapse
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| 將 Synapse 工作區設定為授權僅限 Microsoft Entra 身分識別進行驗證 | 針對 Synapse 工作區要求和設定僅限 Microsoft Entra 驗證,並停用本機驗證方法。 這會允許透過 Microsoft Entra 身分識別進行獨佔存取,使用新式驗證增強功能 (包括使用受控識別的 MFA、SSO 和無祕密程式設計存取) 來增強安全性。 | 2 | 1.0.0 |
| Synapse 工作區應具有僅限 Microsoft Entra 驗證 | 針對 Synapse 工作區要求僅限 Microsoft Entra 驗證,並停用本機驗證方法。 這會允許透過 Microsoft Entra 身分識別進行獨佔存取,使用新式驗證增強功能 (包括使用受控識別的 MFA、SSO 和無祕密程式設計存取) 來增強安全性。 | 2 | 1.0.0 |
標籤
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| 確保資源沒有特定標籤。 | 拒絕建立包含指定標籤的資源。 不會套用至資源群組。 | 1 | 2.0.0 |
可信啟動
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:設定必要條件以在已啟用可信啟動的 VM 上啟用來賓證明 | 設定已啟用可信啟動的虛擬機器,以自動安裝客體證明延伸模組,並啟用系統指派的受控識別,以允許Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 如需詳細資訊,請參閱下列連結:https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
VirtualEnclaves
| 名稱 | 描述 | 原則 | 版本 |
|---|---|---|---|
| [預覽]:控制虛擬記憶體保護區中的 AKS 使用 | 此方案會針對 AKS 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的 App Service 使用 | 此方案會針對 App Service 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的 Container Registry 使用 | 此方案會針對 Container Registry 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的 CosmosDB 使用 | 此方案會針對 CosmosDB 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中特定資源的診斷設定使用方式 | 此方案會部署 Azure 原則,以確保在 Azure 虛擬記憶體保護區中設定特定資源類型。 https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的 Key Vault 使用 | 此方案會針對 Key Vault 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的 Microsoft SQL 使用 | 此方案會針對 Microsoft SQL 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的 PostgreSql 使用 | 此方案會針對 PostgreSql 部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的服務匯流排使用 | 此方案會針對服務匯流排部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [預覽]:控制虛擬記憶體保護區中的儲存體帳戶使用 | 此方案會針對儲存體帳戶部署 Azure 原則,以確保此資源在 Azure 虛擬記憶體保護區的邏輯分隔結構內運作時會獲得界限保護。 https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。