Azure 原則的內建原則定義
本頁面是 Azure 原則內建原則定義的索引。
Azure 入口網站 中每個內建連結至原則定義的名稱。 使用 [來源] 數據行中的連結來檢視 Azure 原則 GitHub 存放庫上的來源。 內建會依元數據中的類別屬性分組。 若要移至特定類別,請使用 Ctrl-F 作為瀏覽器的搜尋功能。
API for FHIR
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure API for FHIR 應使用客戶自控金鑰為待用資料加密 | 若需要符合法規或合規性需求,請使用客戶管理的金鑰來控制 Azure API for FHIR 中儲存的待用資料加密。 客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | 稽核、稽核、停用、停用 | 1.1.0 |
Azure API for FHIR 應該使用私人連結 | Azure API for FHIR 應該至少有一個已核准的私人端點連結。 虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。 如需詳細資訊,請瀏覽:https://aka.ms/fhir-privatelink。 | Audit, Disabled | 1.0.0 |
CORS 不應允許每個網域存取您的 API for FHIR | 跨原始來源資源分享 (CORS) 不應允許所有網域存取您的 API for FHIR。 若要保護您的 API for FHIR,請移除所有網域的存取權,並明確定義允許連線的網域。 | 稽核、稽核、停用、停用 | 1.1.0 |
API 管理
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
APIM API 應一律只使用加密通訊協定 | 為了確保傳輸中資料的安全性,API 應該只能透過 HTTPS 或 WSS 等加密通訊協定來使用。 請避免使用不安全的通訊協定,例如 HTTP 或 WS。 | 稽核、停用、拒絕 | 2.0.2 |
應驗證 APIM 對 API 後端的呼叫 | 從 API 管理到後端的呼叫應該使用某種驗證形式,無論是透過憑證或認證。 不適用於 Service Fabric 後端。 | 稽核、停用、拒絕 | 1.0.1 |
APIM 呼叫 API 後端時,不應略過憑證指紋或名稱驗證 | 為了改善 API 安全性,APIM 應該驗證所有 API 呼叫的後端伺服器憑證。 啟用 SSL 憑證指紋和名稱驗證。 | 稽核、停用、拒絕 | 1.0.2 |
不應啟用 APIM 直接管理端點 | Azure APIM 中的直接管理 REST API 會略過 Azure Resource Manager 角色型存取控制、授權和節流機制,進而增加服務的弱點。 | 稽核、停用、拒絕 | 1.0.2 |
APIM 的最低 API 版本應設定為 2019-12-01 或更新版本 | 若要防止與唯讀使用者共用服務密碼,最低 API 版本應設定為 2019-12-01 或更新版本。 | Audit, Deny, Disabled | 1.0.1 |
APIM 秘密的具名值應儲存在 Azure Key Vault 中 | 具名值是每個 APIM 服務中的「名稱-值」組集合。 祕密值可以儲存為 APIM 中的加密文字 (自訂祕密),或藉由參考 Azure Key Vault 中的祕密來儲存。 若要改善 APIM 和秘密的安全性,請從 Azure Key Vault 參考秘密的具名值。 Azure Key Vault 支援細微的存取管理和秘密輪替原則。 | 稽核、停用、拒絕 | 1.0.2 |
API 管理 服務應該使用支援虛擬網路的 SKU | 透過支援的 API 管理 SKU,將服務部署到虛擬網路會解除鎖定進階 API 管理 網路和安全性功能,讓您更能控制網路安全性設定。 深入了解:https://aka.ms/apimvnet。 | Audit, Deny, Disabled | 1.0.0 |
API 管理服務應使用虛擬網路 | Azure 虛擬網路部署提供增強的安全性、隔離,並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站與 API 閘道,可設定為從網際網路存取或只從虛擬網路內存取。 | Audit, Deny, Disabled | 1.0.2 |
APIM 應停用服務設定端點的公用網路存取 | 若要改善 APIM 服務的安全性,請限制服務設定端點 (例如直接存取管理 API)、Git 設定管理端點或自我裝載閘道設定端點的連線能力。 | AuditIfNotExists, Disabled | 1.0.1 |
API 管理 應該停用使用者名稱和密碼驗證 | 若要更安全的開發人員入口網站,應停用 API 管理 中的使用者名稱和密碼驗證。 透過 Azure AD 或 Azure AD B2C 識別提供者設定使用者驗證,並停用預設的使用者名稱和密碼驗證。 | Audit, Disabled | 1.0.1 |
APIM 訂用帳戶不應將範圍設定為所有 API | APIM 訂用帳戶的範圍應設定為產品或個別 API,而不是所有 API,否則可能會導致資料過度暴露。 | 稽核、停用、拒絕 | 1.1.0 |
Azure APIM 平台版本應該是 stv2 | Azure APIM stv1 計算平台版本將於 2024 年 8 月 31 日淘汰,而且這些執行個體應移轉至 stv2 計算平台,以繼續獲得支援。 深入了解:https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
設定 API 管理 服務以停用對 API 管理 公用服務組態端點的存取 | 若要改善 APIM 服務的安全性,請限制服務設定端點 (例如直接存取管理 API)、Git 設定管理端點或自我裝載閘道設定端點的連線能力。 | DeployIfNotExists, Disabled | 1.1.0 |
修改 API 管理 以停用使用者名稱和密碼驗證 | 若要更妥善地保護開發人員入口網站用戶帳戶及其認證,請透過 Azure AD 或 Azure AD B2C 識別提供者設定用戶驗證,並停用預設的使用者名稱和密碼驗證。 | Modify | 1.1.0 |
應用程式設定
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應用程式組態 應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/appconfig/private-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
應用程式組態 應使用客戶管理的金鑰 | 客戶管理的金鑰可讓您管理加密金鑰,以提供增強的數據保護。 這通常需要符合合規性需求。 | Audit, Deny, Disabled | 1.1.0 |
應用程式組態 應該使用支援私人連結的 SKU | 使用支援的 SKU 時,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
應用程式組態 存放區應停用本機驗證方法 | 停用本機驗證方法可藉由確保 應用程式組態 存放區需要 Microsoft Entra 身分識別獨佔進行驗證,以改善安全性。 深入了解:https://go.microsoft.com/fwlink/?linkid=2161954。 | Audit, Deny, Disabled | 1.0.1 |
設定 應用程式組態存放區以停用本機驗證方法 | 停用本機驗證方法,讓您的 應用程式組態 存放區需要專用的 Microsoft Entra 身分識別進行驗證。 深入了解:https://go.microsoft.com/fwlink/?linkid=2161954。 | 修改、停用 | 1.0.1 |
設定 應用程式組態 以停用公用網路存取 | 停用 應用程式組態 的公用網路存取,使其無法透過公用因特網存取。 此設定可協助保護它們免於數據外泄風險。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/appconfig/private-endpoint。 | 修改、停用 | 1.0.0 |
為連線至 應用程式組態 的私人端點設定私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析應用程式組態實例。 深入了解:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 應用程式組態 的私人端點 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的應用程式組態實例,數據外泄風險會降低。 深入了解:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
應用程式平臺
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:稽核未啟用分散式追蹤的 Azure Spring Cloud 實例 | Azure Spring Cloud 中的分散式追蹤工具允許偵錯和監視應用程式中微服務之間的複雜相互連線。 分散式追蹤工具應啟用且處於狀況良好狀態。 | Audit, Disabled | 1.0.0-preview |
Azure Spring Cloud 應使用網路插入 | Azure Spring Cloud 執行個體應該使用虛擬網路插入來實現下列目的:1. 將 Azure Spring Cloud 與網際網路隔離。 2. 讓 Azure Spring Cloud 能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure Spring Cloud 的輸入和輸出網路通訊 | 稽核、停用、拒絕 | 1.2.0 |
應用程式服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
App Service 應用程式位置應該插入虛擬網路 | 在虛擬網路中插入App Service Apps 可解除鎖定進階App Service網路和安全性功能,並讓您更充分掌控網路安全性設定。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式位置應該停用公用網路存取 | 停用公用網路存取可藉由確保App Service 不會公開在公用因特網上來改善安全性。 建立私人端點可以限制App Service的曝光。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
App Service 應用程式位置應該啟用設定路由至 Azure 虛擬網絡 | 根據預設,提取容器映像和掛接內容記憶體等應用程式組態將不會透過區域虛擬網路整合路由傳送。 使用 API 將路由選項設定為 true 可讓設定流量透過 Azure 虛擬網絡。 這些設定允許網路安全組和使用者定義路由等功能,以及將服務端點設為私人。 如需詳細資訊,請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式位置應啟用輸出非 RFC 1918 流量至 Azure 虛擬網絡 | 根據預設,如果一個應用程式使用區域 Azure 虛擬網絡 (VNET) 整合,則應用程式只會將RFC1918流量路由傳送至該個別虛擬網路。 使用 API 將 'vnetRouteAllEnabled' 設定為 true 可讓所有輸出流量進入 Azure 虛擬網絡。 此設定可讓網路安全組和使用者定義路由等功能用於來自App Service 應用程式的所有輸出流量。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式位置應該已啟用用戶端憑證(傳入客戶端憑證) | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置應停用 FTP 部署的本機驗證方法 | 停用 FTP 部署的本機驗證方法可藉由確保 App Service 位置完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
App Service 應用程式位置應停用 SCM 網站部署的本機驗證方法 | 停用 SCM 網站的本機驗證方法可藉由確保 App Service 位置完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.4 |
App Service 應用程式位置應該已關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 1.0.1 |
App Service 應用程式位置應該已啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置不應設定 CORS 以允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置應該只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 2.0.0 |
App Service 應用程式位置應該只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置應該使用 Azure 檔案共用作為其內容目錄 | 應用程式的內容目錄應該位於 Azure 檔案共用上。 檔案共用的記憶體帳戶信息必須在任何發佈活動之前提供。 若要深入瞭解如何使用 Azure 檔案儲存體 來裝載 App Service 內容,https://go.microsoft.com/fwlink/?linkid=2151594請參閱 。 | Audit, Disabled | 1.0.0 |
App Service 應用程式位置應該使用最新的 'HTTP 版本' | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置應該使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Java 的 App Service 應用程式位置應該使用指定的'Java 版本' | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議針對 App Service 應用程式使用最新的 Java 版本,以利用最新版的安全性修正和/或新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Java 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 PHP 的 App Service 應用程式位置應該使用指定的 'PHP 版本' | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Python 的 App Service 應用程式位置應該使用指定的 「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式應該插入虛擬網路 | 在虛擬網路中插入App Service Apps 可解除鎖定進階App Service網路和安全性功能,並讓您更充分掌控網路安全性設定。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 3.0.0 |
App Service 應用程式應停用公用網路存取 | 停用公用網路存取可藉由確保App Service 不會公開在公用因特網上來改善安全性。 建立私人端點可以限制App Service的曝光。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.1.0 |
App Service 應用程式應該啟用設定路由至 Azure 虛擬網絡 | 根據預設,提取容器映像和掛接內容記憶體等應用程式組態將不會透過區域虛擬網路整合路由傳送。 使用 API 將路由選項設定為 true,可讓設定流量透過 Azure 虛擬網絡。 這些設定允許網路安全組和使用者定義路由等功能,以及將服務端點設為私人。 如需詳細資訊,請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式應啟用輸出非 RFC 1918 流量至 Azure 虛擬網絡 | 根據預設,如果一個應用程式使用區域 Azure 虛擬網絡 (VNET) 整合,則應用程式只會將RFC1918流量路由傳送至該個別虛擬網路。 使用 API 將 'vnetRouteAllEnabled' 設定為 true 可讓所有輸出流量進入 Azure 虛擬網絡。 此設定可讓網路安全組和使用者定義路由等功能用於來自App Service 應用程式的所有輸出流量。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式應已啟用驗證 | Azure App 服務 驗證是一項功能,可防止匿名 HTTP 要求到達 Web 應用程式,或驗證那些在到達 Web 應用程式之前具有令牌的功能。 | AuditIfNotExists, Disabled | 2.0.1 |
App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式應停用 FTP 部署的本機驗證方法 | 停用 FTP 部署的本機驗證方法可藉由確保 App Services 完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
App Service 應用程式應停用 SCM 月臺部署的本機驗證方法 | 停用 SCM 網站的本機驗證方法可藉由確保 App Services 完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
App Service 應用程式應該使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/private-link。 | Audit, Deny, Disabled | 4.1.0 |
App Service 應用程式應該使用 Azure 檔案共用作為其內容目錄 | 應用程式的內容目錄應該位於 Azure 檔案共用上。 檔案共用的記憶體帳戶信息必須在任何發佈活動之前提供。 若要深入瞭解如何使用 Azure 檔案儲存體 裝載 App Service 內容,https://go.microsoft.com/fwlink/?linkid=2151594請參閱 。 | Audit, Disabled | 3.0.0 |
App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
App Service 應用程式應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 App Service,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/private-link。 | AuditIfNotExists, Disabled | 1.0.1 |
App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
使用 Java 的 App Service 應用程式應該使用指定的「Java 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議針對 App Service 應用程式使用最新的 Java 版本,以利用最新版的安全性修正和/或新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Java 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
使用 PHP 的 App Service 應用程式應該使用指定的 'PHP 版本' | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 3.2.0 |
使用 Python 的 App Service 應用程式應該使用指定的 「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
App Service 環境 應用程式不應透過公用因特網連線 | 為了確保部署在 App Service 環境 中的應用程式無法透過公用因特網存取,則應使用虛擬網路中的IP位址來部署 App Service 環境。 若要將IP位址設定為虛擬網路IP,App Service 環境必須使用內部負載平衡器進行部署。 | Audit, Deny, Disabled | 3.0.0 |
App Service 環境 應設定最強的 TLS 加密套件 | App Service 環境 正常運作所需的兩個最最小和最強的加密套件為:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384和TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit, Disabled | 1.0.0 |
應使用最新版本布建 App Service 環境 | 只允許布建第 2 版或第 3 版 App Service 環境。 舊版的 App Service 環境 需要手動管理 Azure 資源,而且有更大的調整限制。 | Audit, Deny, Disabled | 1.0.0 |
App Service 環境應啟用內部加密 | 將 InternalEncryption 設定為 True,會讓 App Service 環境中前端與背景工作角色之間的分頁檔、背景工作角色磁碟和內部網路流量加密。 若要深入了解,請參閱 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit, Disabled | 1.0.1 |
App Service 環境 應停用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 是不支援新式密碼編譯演算法的過時通訊協定。 停用輸入 TLS 1.0 和 1.1 流量有助於保護 App Service 環境 中的應用程式。 | Audit, Deny, Disabled | 2.0.1 |
設定 App Service 應用程式位置以停用 FTP 部署的本機驗證 | 停用 FTP 部署的本機驗證方法可藉由確保 App Service 位置完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式位置以停用 SCM 網站的本機驗證 | 停用 SCM 網站的本機驗證方法可藉由確保 App Service 位置完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式位置以停用公用網路存取 | 停用 App Services 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將 App Service 應用程式位置設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
設定 App Service 應用程式位置以關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 App Service 應用程式位置以使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 App Service 應用程式以停用 FTP 部署的本機驗證 | 停用 FTP 部署的本機驗證方法可藉由確保 App Services 完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式以停用 SCM 網站的本機驗證 | 停用 SCM 網站的本機驗證方法可藉由確保 App Services 完全要求 Microsoft Entra 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式以停用公用網路存取 | 停用 App Services 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將 App Service 應用程式設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
設定 App Service 應用程式以關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 App Service 應用程式以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會將虛擬網路連結至 App Service。 深入了解:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists, Disabled | 1.0.1 |
設定 App Service 應用程式以使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.0.1 |
設定函式應用程式位置以停用公用網路存取 | 停用函式應用程式的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將函式應用程式位置設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
設定函式應用程式位置以關閉遠端偵錯 | 遠端偵錯需要在函式應用程式上開啟輸入埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.1.0 |
設定函式應用程式位置以使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.1.0 |
設定函式應用程式以停用公用網路存取 | 停用函式應用程式的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將函式應用程式設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
設定函式應用程式以關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.0.0 |
設定函式應用程式以使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.0.1 |
函式應用程式位置應停用公用網路存取 | 停用公用網路存取可藉由確保函式應用程式不會公開在公用因特網上來改善安全性。 建立私人端點可以限制函式應用程式的公開。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
函式應用程式位置應已啟用用戶端憑證(傳入用戶端憑證) | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
函式應用程式位置應該已關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 1.0.0 |
函式應用程式位置不應該設定 CORS 以允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 1.0.0 |
函式應用程式位置應該只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 2.0.0 |
函式應用程式位置應該只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 1.0.0 |
函式應用程式位置應該使用 Azure 檔案共用作為其內容目錄 | 函式應用程式的內容目錄應該位於 Azure 檔案共用上。 檔案共用的記憶體帳戶信息必須在任何發佈活動之前提供。 若要深入瞭解如何使用 Azure 檔案儲存體 來裝載 App Service 內容,https://go.microsoft.com/fwlink/?linkid=2151594請參閱 。 | Audit, Disabled | 1.0.0 |
函式應用程式位置應該使用最新的 'HTTP 版本' | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
函式應用程式位置應該使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Java 的函式應用程式位置應該使用指定的 'Java 版本' | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Java 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Python 的函式應用程式位置應該使用指定的 'Python 版本' | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
函式應用程式應停用公用網路存取 | 停用公用網路存取可藉由確保函式應用程式不會公開在公用因特網上來改善安全性。 建立私人端點可以限制函式應用程式的公開。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
函式應用程式應已啟用驗證 | Azure App 服務 驗證是一項功能,可避免匿名 HTTP 要求到達函式應用程式,或先驗證具有令牌的函式應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
函式應用程式應已啟用用戶端憑證(傳入用戶端憑證) | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
函式應用程式應為其內容目錄使用 Azure 檔案共用 | 函式應用程式的內容目錄應該位於 Azure 檔案共用上。 檔案共用的記憶體帳戶信息必須在任何發佈活動之前提供。 若要深入瞭解如何使用 Azure 檔案儲存體 來裝載 App Service 內容,https://go.microsoft.com/fwlink/?linkid=2151594請參閱 。 | Audit, Disabled | 3.0.0 |
函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
使用 Java 的函式應用程式應該使用指定的'Java 版本' | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Java 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
使用 Python 的函式應用程式應該使用指定的 'Python 版本' | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
證明
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 證明 提供者應停用公用網路存取 | 若要改善 Azure 證明 服務的安全性,請確定它不會公開至公用因特網,而且只能從私人端點存取。 停用公用網路存取屬性,如 aka.ms/azureattestation 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
Azure 證明 提供者應該使用私人端點 | 私人端點可讓您將 Azure 證明 提供者連線到您的 Azure 資源,而不需透過公用因特網傳送流量。 藉由防止公用存取,私人端點可協助防止不想要的匿名存取。 | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應在您的計算機上啟用受控識別 | 由 Automanage 管理的資源應該具有受控識別。 | Audit, Disabled | 1.0.0-preview |
[預覽]: 自動管理組態配置檔指派應該是一致性 | 由 Automanage 管理的資源狀態應為 Conformant 或 ConformantCorrected。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應在虛擬機上啟用開機診斷 | Azure 虛擬機應該已啟用開機診斷。 | Audit, Disabled | 1.0.0-preview |
設定要上線至 Azure Automanage 的虛擬機 | Azure Automanage 會註冊、設定及監視虛擬機,最佳做法如適用於 Azure 的 Microsoft 雲端採用架構 所定義。 使用此原則將 Automanage 套用至您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
使用自定義組態配置檔將虛擬機設定為上線至 Azure Automanage | Azure Automanage 會註冊、設定及監視虛擬機,最佳做法如適用於 Azure 的 Microsoft 雲端採用架構 所定義。 使用此原則,將 Automanage 與您自己的自定義組態配置檔套用至您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
應針對 Windows Server Azure Edition VM 啟用 Hotpatch | 使用熱修補快速將重新啟動和安裝更新降到最低。 深入了解:https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, Disabled | 1.0.0 |
自動化
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
自動化帳戶應具有受控識別 | 使用受控識別作為從 Runbook 向 Azure 資源進行驗證的建議方法。 用於驗證的受控識別更安全,並消除在 Runbook 程式代碼中使用 RunAs 帳戶相關聯的管理額外負荷。 | Audit, Disabled | 1.0.0 |
應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
自動化帳戶應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制自動化帳戶資源的暴露。 深入了解:https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | Audit, Deny, Disabled | 1.0.0 |
Azure 自動化 帳戶應停用本機驗證方法 | 停用本機驗證方法可確保 Azure 自動化 帳戶完全需要 Azure Active Directory 身分識別進行驗證,藉此改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
Azure 自動化帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure 自動化帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/automation-cmk。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure 自動化 帳戶以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 自動化 帳戶完全需要 Azure Active Directory 身分識別進行驗證。 | 修改、停用 | 1.0.0 |
設定 Azure 自動化 帳戶以停用公用網路存取 | 停用 Azure 自動化 帳戶的公用網路存取,使其無法透過公用因特網存取。 此設定可協助保護它們免於數據外泄風險。 您可以改為建立私人端點來限制自動化帳戶資源的曝光。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
使用私人 DNS 區域設定 Azure 自動化 帳戶 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 您需要已正確設定私人 DNS 區域,才能透過 Azure Private Link 連線到 Azure 自動化 帳戶。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
在 Azure 自動化 帳戶上設定私人端點連線 | 私人端點連線允許安全通訊,方法是啟用 Azure 自動化 帳戶的私人連線,而不需要來源或目的地的公用IP位址。 在的 Azure 自動化 https://docs.microsoft.com/azure/automation/how-to/private-link-security深入瞭解私人端點。 | DeployIfNotExists, Disabled | 1.0.0 |
應該啟用自動化帳戶上的私人端點連線 | 私人端點連線允許安全通訊,方法是啟用自動化帳戶的私人連線,而不需要來源或目的地上的公用IP位址。 深入瞭解 Azure 自動化 中的私人端點https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Active Directory 網域服務 受控網域應僅使用 TLS 1.2 模式 | 僅針對受控網域使用 TLS 1.2 模式。 根據預設,Azure AD Domain Services 會啟用使用 NTLM v1 和 TLS v1 等加密。 某些舊版應用程式可能需要這些加密,但被視為弱式,如果您不需要這些密碼,則可以加以停用。 僅啟用 TLS 1.2 模式時,發出未使用 TLS 1.2 之要求的任何用戶端都會失敗。 深入了解:https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain。 | Audit, Deny, Disabled | 1.1.0 |
Azure Ai 服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務。 | Audit, Deny, Disabled | 3.1.0 |
Azure Arc
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:拒絕建立或修改延伸安全性 更新 (ESU) 授權。 | 此原則可讓您限制建立或修改 Windows Server 2012 Arc 機器的 ESU 授權。 如需定價的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | 稽核, 拒絕, 停用 | 1.0.0-preview |
[預覽]:啟用擴充安全性 更新 (ESU) 授權,以在 Windows 2012 機器的支援生命週期結束之後保持保護。 | 啟用延伸安全性 更新 (ESU) 授權,讓 Windows 2012 機器在支援生命週期結束之後仍受到保護。 瞭解如何準備透過 AzureArc 傳遞 Windows Server 2012 的延伸安全性 更新,請造訪 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。 如需定價的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
Azure Arc Private Link 範圍應設定為私人端點 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Arc Private Link 範圍,數據外泄風險會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Disabled | 1.0.0 |
Azure Arc Private Link 範圍應停用公用網路存取 | 停用公用網路存取可藉由確保 Azure Arc 資源無法透過公用因特網連線來改善安全性。 建立私人端點可能會限制 Azure Arc 資源的暴露。 深入了解:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應設定為 Azure Arc Private Link 範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
已啟用 Azure Arc 的伺服器應該使用 Azure Arc Private Link 範圍進行設定 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure Arc Private Link 範圍以停用公用網路存取 | 停用 Azure Arc Private Link 範圍的公用網路存取,讓相關聯的 Azure Arc 資源無法透過公用因特網連線到 Azure Arc 服務。 這可降低資料洩漏風險。 深入了解:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
設定 Azure Arc Private Link 範圍以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure Arc Private Link 範圍。 深入了解:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 1.2.0 |
使用私人端點設定 Azure Arc Private Link 範圍 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Arc Private Link 範圍,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 2.0.0 |
設定已啟用 Azure Arc 的 Kubernetes 叢集以使用 Azure Arc Private Link 範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
設定已啟用 Azure Arc 的伺服器以使用 Azure Arc Private Link 範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
Azure 資料總管
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應停用 Azure 數據總管上的所有資料庫 管理員 | 停用所有資料庫管理員角色,以限制授與高許可權/系統管理使用者角色。 | Audit, Deny, Disabled | 1.0.0 |
Azure 數據總管叢集應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure 數據總管叢集,數據外泄風險會降低。 深入了解私人連結:https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint。 | Audit, Disabled | 1.0.0 |
Azure 資料總管待用加密應使用客戶自控金鑰 | 在 Azure 資料總管叢集上使用客戶自控金鑰來啟用待用加密,可讓您進一步控制待用加密所使用的金鑰。 這項功能通常適用於具有特殊合規性需求的客戶,而且需要 Key Vault 來管理金鑰。 | Audit, Deny, Disabled | 1.0.0 |
Azure 數據總管應該使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/private-link。 | Audit, Deny, Disabled | 1.0.0 |
使用私人端點設定 Azure 數據總管叢集 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 數據總管,您可以降低數據外泄風險。 深入瞭解:[ServiceSpecificAKA.ms]。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 資料總管以停用公用網路存取 | 停用公用網路存取屬性會關閉公用連線,讓 Azure 數據總管只能從私人端點存取。 此組態會停用所有 Azure 數據總管叢集的公用網路存取。 | 修改、停用 | 1.0.0 |
應該在 Azure 資料總管上啟用磁碟加密 | 啟用磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 | Audit, Deny, Disabled | 2.0.0 |
應該在 Azure 資料總管上啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 2.0.0 |
應停用 Azure 數據總管上的公用網路存取 | 停用公用網路存取屬性可藉由確保只能從私人端點存取 Azure 數據總管來改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.0.0 |
應針對 Azure 數據總管啟用虛擬網路插入 | 使用虛擬網路插入保護您的網路周邊,可讓您強制執行網路安全組規則、聯機內部部署,並使用服務端點保護您的數據源。 | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Databricks 叢集應該停用公用 IP | 停用 Azure Databricks 工作區中叢集的公用 IP 可藉由確保叢集不會在公用網際網路上公開來改善安全性。 深入了解:https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity。 | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks 工作區應位於虛擬網路中 | Azure 虛擬網路加強了 Azure Databricks 工作區的安全性及隔離性,並提供了子網路、存取控制原則及其他功能,以便進一步限制存取。 深入了解:https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject。 | Audit, Deny, Disabled | 1.0.2 |
Azure Databricks 工作區應 進階版 SKU,其支援私人鏈接、客戶管理的加密密鑰等功能 | 僅允許具有 進階版 Sku 的 Databricks 工作區,貴組織可以部署以支援私人鏈接、客戶管理的密鑰等功能以進行加密。 深入了解:https://aka.ms/adbpe。 | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks 工作區應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以控制資源的曝光狀況。 深入了解:https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link。 | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks 工作區應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 您可以將私人端點對應至 Azure Databricks 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/adbpe。 | Audit, Disabled | 1.0.2 |
設定 Azure Databricks 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至 Azure Databricks 工作區。 深入了解:https://aka.ms/adbpe。 | DeployIfNotExists, Disabled | 1.0.1 |
使用私人端點設定 Azure Databricks 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Databricks 工作區,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/adbpe。 | DeployIfNotExists, Disabled | 1.0.2 |
將 Azure Databricks 工作區的診斷設定設定設定為 Log Analytics 工作區 | 部署 Azure Databricks 工作區的診斷設定,以在建立或更新遺漏此診斷設定的任何 Azure Databricks 工作區時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.1 |
應啟用 Azure Databricks 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
Azure Edge 硬體中心
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Edge 硬體中心裝置應已啟用雙重加密支援 | 確定從 Azure Edge 硬體中心訂購的裝置已啟用雙重加密支援,以保護裝置上的待用數據。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 2.0.0 |
Azure 負載測試
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 負載測試資源應使用客戶管理的金鑰來加密待用數據 | 使用客戶管理的金鑰(CMK)來管理 Azure 負載測試資源的待用加密。 根據預設,encryptio 會使用服務管理的金鑰來完成,客戶自控密鑰可讓數據以您建立和擁有的 Azure 金鑰保存庫 金鑰加密。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal。 | Audit, Deny, Disabled | 1.0.0 |
Azure Purview
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Purview 帳戶應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的 Azure Purview 帳戶,而不是整個服務,您也會受到保護,免於數據外泄風險。 深入了解:https://aka.ms/purview-private-link。 | Audit, Disabled | 1.0.0 |
Azure Stack Edge
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Stack Edge 裝置應該使用雙重加密 | 若要保護裝置上待用的資料,請確定其已雙重加密並已控制對資料的存取,以及在裝置停用之後,會安全地從資料磁碟清除資料。 雙重加密是使用兩個層級的加密:資料磁碟區上的 BitLocker XTS-AES 256 位元加密,以及硬碟的內建加密。 若要深入了解,請參閱特定Stack Edge 裝置的安全性概觀文件。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure 更新管理員
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
在已啟用 Azure Arc 的伺服器上設定遺漏系統更新的定期檢查 | 在已啟用 Azure Arc 的伺服器上設定 OS 更新的自動評估(每 24 小時)。 您可以根據電腦訂用帳戶、資源群組、位置或標籤控制指派的範圍。 深入瞭解 Windows 的這項功能: https://aka.ms/computevm-windowspatchassessmentmode、 適用於 Linux: https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 2.2.1 |
設定 Azure 虛擬機上遺漏系統更新的定期檢查 | 設定原生 Azure 虛擬機上 OS 更新的自動評量(每 24 小時)。 您可以根據電腦訂用帳戶、資源群組、位置或標籤控制指派的範圍。 深入瞭解 Windows 的這項功能: https://aka.ms/computevm-windowspatchassessmentmode、 適用於 Linux: https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 4.7.0 |
機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.6.0 |
使用 Azure Update Manager 排程週期性更新 | 您可以使用 Azure 中的 Azure Update Manager 來儲存週期性部署排程,以在 Azure、內部部署環境中,以及在使用已啟用 Azure Arc 的伺服器連線的其他雲端環境中,為 Windows Server 和 Linux 機器安裝操作系統更新。 此原則也會將 Azure 虛擬機的修補模式變更為 『AutomaticByPlatform』。 如需詳細資訊,請參閱: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
Backup
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: Azure 備份 擴充功能應該安裝在 AKS 叢集中 | 請確定在您的 AKS 叢集中安裝備份延伸模組的保護,以利用 Azure 備份。 AKS 的 Azure 備份 是 AKS 叢集的安全和雲端原生數據保護解決方案 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應該為 AKS 叢集啟用 Azure 備份 | 啟用 Azure 備份,以確保保護您的 AKS 叢集。 AKS 的 Azure 備份 是 AKS 叢集的安全和雲端原生數據保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: 儲存體 帳戶中的 Blob 應啟用 Azure 備份 | 啟用 Azure 備份,以確保保護您的 儲存體 帳戶。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: 應針對 受控磁碟 啟用 Azure 備份 | 啟用 Azure 備份,以確保保護您的 受控磁碟。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Azure 復原服務保存庫應該停用公用網络存取 | 停用公用網路存取可藉由確保復原服務保存庫不會公開在公用因特網上來改善安全性。 建立私人端點可以限制復原服務保存庫的曝光。 深入了解:https://aka.ms/AB-PublicNetworkAccess-Deny。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure 復原服務保存庫應該使用私人鏈接進行備份 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure 復原服務保存庫,可降低數據外泄風險。 深入了解私人連結:https://aka.ms/AB-PrivateEndpoints。 | Audit, Disabled | 2.0.0-preview |
[預覽]:設定 Azure 復原服務保存庫以停用公用網络存取 | 停用復原服務保存庫的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/AB-PublicNetworkAccess-Deny。 | 修改、停用 | 1.0.0-preview |
[預覽]:在具有指定卷標的記憶體帳戶上為相同區域中現有備份保存庫設定 Blob 的備份 | 在所有包含指定標籤至中央備份保存庫的記憶體帳戶上,強制執行 Blob 的備份。 這樣做可協助您大規模管理跨多個記憶體帳戶所包含的 Blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
[預覽]:針對未在相同區域中備份保存庫包含指定卷標的所有記憶體帳戶設定 Blob 備份 | 在所有不包含指定標籤至中央備份保存庫的記憶體帳戶上,強制執行 Blob 的備份。 這樣做可協助您大規模管理跨多個記憶體帳戶所包含的 Blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
[預覽]:設定復原服務保存庫以使用私人 DNS 區域進行備份 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至您的復原服務保存庫。 深入了解:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists, Disabled | 1.0.1-preview |
[預覽]:設定復原服務保存庫以使用私人端點進行備份 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至復原服務保存庫,您可以降低數據外泄風險。 請注意,您的保存庫必須符合特定必要條件,才能符合私人端點組態的資格。 若要深入瞭解,請參閱: https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:停用 Azure 復原服務保存庫的跨訂用帳戶還原 | 停用或永久停用復原服務保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrenhancements。 | 修改、停用 | 1.1.0-preview |
[預覽]:停用備份保存庫的跨訂用帳戶還原 | 停用或永久停用備份保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrstatechange。 | 修改、停用 | 1.1.0-preview |
[預覽]:不允許建立所選記憶體備援的復原服務保存庫。 | 復原服務保存庫現在可以使用三個記憶體備援選項中的任何一個來建立,也就是本地備援 儲存體、區域備援記憶體和異地備援記憶體。 如果組織中的原則要求您封鎖建立屬於特定備援類型的保存庫,您可以使用此 Azure 原則來達成相同的目標。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
[預覽]: 備份保存庫必須啟用不變性 | 此原則會稽核範圍中備份保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份數據在預定到期前遭到刪除。 深入了解:https://aka.ms/AB-ImmutableVaults。 | Audit, Disabled | 1.0.1-preview |
[預覽]: 復原服務保存庫必須啟用不變性 | 此原則會稽核範圍中復原服務保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份數據在預定到期前遭到刪除。 深入了解:https://aka.ms/AB-ImmutableVaults。 | Audit, Disabled | 1.0.1-preview |
[預覽]:必須針對備份保存庫啟用多用戶授權(MUA)。 | 此原則會稽核備份保存庫是否已啟用多用戶授權 (MUA)。 MUA 藉由將額外的保護層新增至關鍵作業,協助保護您的備份保存庫。 若要深入了解,請瀏覽 https://aka.ms/mua-for-bv。 | Audit, Disabled | 1.0.0-preview |
[預覽]:必須針對復原服務保存庫啟用多用戶授權(MUA)。 | 此原則會稽核是否已啟用復原服務保存庫的多用戶授權 (MUA)。 MUA 藉由將額外的保護層新增至重要作業,協助保護您的復原服務保存庫。 若要深入了解,請瀏覽 https://aka.ms/MUAforRSV。 | Audit, Disabled | 1.0.0-preview |
[預覽]:復原服務保存庫必須啟用虛刪除。 | 此原則會稽核是否已啟用範圍中復原服務保存庫的虛刪除。 虛刪除可協助您復原數據,即使數據已刪除也一定。 深入了解:https://aka.ms/AB-SoftDelete。 | Audit, Disabled | 1.0.0-preview |
[預覽]:應針對備份保存庫啟用虛刪除 | 此原則會稽核是否已啟用範圍中備份保存庫的虛刪除。 虛刪除可協助您在刪除數據之後復原數據。 深入了解:https://aka.ms/AB-SoftDelete | Audit, Disabled | 1.0.0-preview |
應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
使用默認原則,在具有指定標籤的虛擬機上設定備份至新的復原服務保存庫 | 在與虛擬機相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機的備份。 當您組織中不同的應用程式小組配置不同的資源群組,且需要管理自己的備份和還原時,這樣做會很有用。 您可以選擇性地包含包含指定標籤的虛擬機,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
在具有指定標籤的虛擬機上設定備份至相同位置的現有復原服務保存庫 | 將所有虛擬機備份到與虛擬機相同的位置和訂用帳戶中現有的中央復原服務保存庫,以強制執行所有虛擬機的備份。 當您組織中有中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地包含包含指定標籤的虛擬機,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
使用默認原則,在虛擬機上設定備份,但未指定標籤到新的復原服務保存庫 | 在與虛擬機相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機的備份。 當您組織中不同的應用程式小組配置不同的資源群組,且需要管理自己的備份和還原時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
在虛擬機上設定備份,而不指定標籤到相同位置的現有復原服務保存庫 | 將所有虛擬機備份到與虛擬機相同的位置和訂用帳戶中現有的中央復原服務保存庫,以強制執行所有虛擬機的備份。 當您組織中有中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
將復原服務保存庫的診斷 設定 部署到Log Analytics工作區,以取得資源特定類別。 | 部署復原服務保存庫的診斷 設定,以串流至資源特定類別的Log Analytics工作區。 如果未啟用任何資源特定類別,則會建立新的診斷設定。 | deployIfNotExists | 1.0.2 |
Batch
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Batch 帳戶應使用客戶自控金鑰加密資料 | 使用客戶自控金鑰來管理 Batch 帳戶資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/Batch-CMK。 | Audit, Deny, Disabled | 1.0.1 |
Azure Batch 集區應已啟用磁碟加密 | 啟用 Azure Batch 磁碟加密可確保數據一律會在 Azure Batch 計算節點上進行待用加密。 在中深入瞭解 Batch https://docs.microsoft.com/azure/batch/disk-encryption中的磁碟加密。 | 稽核、停用、拒絕 | 1.0.0 |
Batch 帳戶應停用本機驗證方法 | 停用本機驗證方法可藉由確保 Batch 帳戶完全需要 Azure Active Directory 身分識別來進行驗證,來改善安全性。 深入了解:https://aka.ms/batch/auth。 | Audit, Deny, Disabled | 1.0.0 |
設定 Batch 帳戶以停用本機驗證 | 停用位置驗證方法,讓您的 Batch 帳戶需要專用的 Azure Active Directory 身分識別來進行驗證。 深入了解:https://aka.ms/batch/auth。 | 修改、停用 | 1.0.0 |
設定 Batch 帳戶以停用公用網路存取 | 停用 Batch 帳戶上的公用網路存取可改善安全性,方法是確保您的 Batch 帳戶只能從私人端點存取。 深入瞭解在停用公用網路存取 https://docs.microsoft.com/azure/batch/private-connectivity。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Batch 帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Batch 帳戶,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 為連線到 Batch 帳戶的私人端點設定私人 DNS 區域 | 私用 DNS 記錄允許私人端點的私人連線。 私人端點連線允許安全通訊,方法是啟用 Batch 帳戶的私人連線,而不需要來源或目的地上的公用 IP 位址。 如需 Batch 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists, Disabled | 1.0.0 |
計量警示規則應在 Batch 帳戶上設定 | 稽核 Batch 帳戶上的計量警示規則設定,以啟用必要的計量 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用 Batch 帳戶上的私人端點連線 | 私人端點連線允許安全通訊,方法是啟用 Batch 帳戶的私人連線,而不需要來源或目的地上的公用 IP 位址。 在中深入瞭解 Batch https://docs.microsoft.com/azure/batch/private-connectivity中的私人端點。 | AuditIfNotExists, Disabled | 1.0.0 |
Batch 帳戶應停用公用網路存取 | 停用 Batch 帳戶上的公用網路存取可改善安全性,方法是確保您的 Batch 帳戶只能從私人端點存取。 深入瞭解在停用公用網路存取 https://docs.microsoft.com/azure/batch/private-connectivity。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
機器人服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Bot 服務端點應該是有效的 HTTPS URI | 資料可能會在傳輸期間遭到篡改。 通訊協定的存在會提供加密來解決誤用和篡改的問題。 為了確保 Bot 只會透過加密通道進行通訊,請將端點設定為有效的 HTTPS URI。 這可確保 HTTPS 通訊協定用來加密傳輸中的數據,而且通常是符合法規或業界標準的需求。 請造訪: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Bot Service 應使用客戶自控金鑰進行加密 | Azure Bot Service 會自動加密您的資源,以保護您的資料,並符合組織安全性和合規性承諾。 依預設,系統會使用 Microsoft 代控加密金鑰。 若要在管理金鑰或控制訂用帳戶存取權方面有更大的彈性,請選取客戶自控金鑰,也稱為攜帶您自己的金鑰 (BYOK)。 深入了解 Azure Bot Service 加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Bot Service 應該已啟用隔離模式 | Bot 應該設定為「僅限隔離」模式。 此設定會設定 Bot Service 通道,要求停用透過公用因特網的流量。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
Bot Service 應停用本機驗證方法 | 停用本機驗證方法可藉由確保 Bot 獨佔使用 AAD 進行驗證,以改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
Bot Service 應停用公用網路存取 | Bot 應該設定為「僅限隔離」模式。 此設定會設定 Bot Service 通道,要求停用透過公用因特網的流量。 | Audit, Deny, Disabled | 1.0.0 |
BotService 資源應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 BotService 資源,數據外泄風險會降低。 | Audit, Disabled | 1.0.0 |
設定 BotService 資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 BotService 相關資源。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 BotService 資源 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 BotService 資源,您可以降低數據外泄風險。 | DeployIfNotExists, Disabled | 1.0.0 |
Cache
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cache for Redis 應該停用公用網路存取 | 停用公用網路存取可藉由確保 Azure Cache for Redis 不會公開在公用因特網上來改善安全性。 您可以改為建立私人端點來限制 Azure Cache for Redis 的曝光。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | Audit, Deny, Disabled | 1.0.0 |
Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure Cache for Redis 以停用公用網路存取 | 停用 Azure Cache for Redis 資源的公用網路存取,使其無法透過公用因特網存取。 這有助於保護快取免於數據外泄風險。 | 修改、停用 | 1.0.0 |
設定 Azure Cache for Redis 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析為 Azure Cache for Redis。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure Cache for Redis | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Cache for Redis 資源,您可以降低數據外泄風險。 深入了解:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
CDN
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Front Door 配置文件應該使用支援受控 WAF 規則和私人連結 進階版 層 | Azure Front Door 進階版 支援 Azure 受控 WAF 規則和支援 Azure 來源的私人連結。 | Audit, Deny, Disabled | 1.0.0 |
Azure Front Door Standard 和 進階版 應該執行最低 TLS 1.2 版 | 將最低 TLS 版本設定為 1.2 可藉由確保您的自定義網域可從使用 TLS 1.2 或更新版本的用戶端存取,以改善安全性。 不建議使用小於 1.2 的 TLS 版本,因為它們很弱,而且不支援新式密碼編譯演算法。 | Audit, Deny, Disabled | 1.0.0 |
保護 Azure Front Door 進階版 與 Azure 儲存體 Blob 或 Azure App 服務 之間的私人連線 | 私人鏈接可確保 AFD 進階版 與 Azure 儲存體 Blob 或透過 Azure 骨幹網路 Azure App 服務 之間的私人連線,而不需要公開 Azure 儲存體 Blob 或公開至因特網的 Azure App 服務。 | Audit, Disabled | 1.0.0 |
ChangeTrackingAndInventory
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:將已啟用Linux Arc的機器設定為與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯,將已啟用 Linux Arc 的電腦連結至指定的數據收集規則,以啟用 ChangeTracking 和清查。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用Linux Arc的機器以安裝 AMA 以進行 ChangeTracking 和清查 | 在已啟用Linux Arc的機器上自動部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和清查。 如果支援區域,此原則將會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
[預覽]:將 Linux 虛擬機器 設定為與 ChangeTracking 和 Inventory 的數據收集規則相關聯 | 部署關聯以將Linux虛擬機連結至指定的數據收集規則,以啟用ChangeTracking和清查。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定 Linux VM 以使用使用者指派的受控識別來安裝 AMA for ChangeTracking 和 Inventory | 在 Linux 虛擬機上自動部署 Azure 監視器代理程式擴充功能,以啟用 ChangeTracking 和清查。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0-preview |
[預覽]:將 Linux VMSS 設定為與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯以將 Linux 虛擬機擴展集連結至指定的數據收集規則,以啟用 ChangeTracking 和清查。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定 Linux VMSS 以使用使用者指派的受控識別來安裝 AMA for ChangeTracking 和 Inventory | 在 Linux 虛擬機擴展集上自動部署 Azure 監視器代理程式擴充功能,以啟用 ChangeTracking 和清查。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
[預覽]:將已啟用 Windows Arc 的機器設定為與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯以連結已啟用 Windows Arc 的電腦至指定的數據收集規則,以啟用 ChangeTracking 和清查。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用 Windows Arc 的機器以安裝 AMA 以進行 ChangeTracking 和清查 | 在已啟用 Windows Arc 的機器上自動部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和清查。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定 Windows 虛擬機器 與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯以將 Windows 虛擬機連結至指定的數據收集規則,以啟用 ChangeTracking 和清查。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定 Windows VM 以使用使用者指派的受控識別來安裝 AMA for ChangeTracking 和 Inventory | 在 Windows 虛擬機上自動部署 Azure 監視器代理程式擴充功能,以啟用 ChangeTracking 和清查。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Windows VMSS 設定為與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯以連結 Windows 虛擬機擴展集至指定的數據收集規則,以啟用 ChangeTracking 和 Inventory。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定 Windows VMSS 以使用使用者指派的受控識別來安裝 AMA 以進行 ChangeTracking 和清查 | 在 Windows 虛擬機擴展集上自動部署 Azure 監視器代理程式擴充功能,以啟用 ChangeTracking 和清查。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
認知服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
認知服務帳戶應停用公用網路存取 | 若要改善認知服務帳戶的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://go.microsoft.com/fwlink/?linkid=2129800 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 3.0.1 |
認知服務帳戶應使用客戶自控金鑰來啟用資料加密 | 客戶自控金鑰通常需要符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密儲存在認知服務中的資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解客戶自控金鑰:https://go.microsoft.com/fwlink/?linkid=2121321。 | Audit, Deny, Disabled | 2.1.0 |
認知服務帳戶應使用受控識別 | 將受控識別指派給您的認知服務帳戶,有助於確保進行安全驗證。 此認知服務帳戶會使用此身分識別,以如 Azure Key Vault 等安全的方式與其他 Azure 服務通訊,而不需管理任何認證。 | Audit, Deny, Disabled | 1.0.0 |
認知服務帳戶應使用客戶擁有的儲存體 | 使用客戶擁有的儲存體來控制在認知服務中儲存的待用資料。 若要深入瞭解客戶擁有的儲存體,請造訪 https://aka.ms/cogsvc-cmk。 | Audit, Deny, Disabled | 2.0.0 |
認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
設定認知服務帳戶以停用本機驗證方法 | 停用本機驗證方法,讓您的認知服務帳戶要求 Azure Active Directory 以獨佔方式識別來進行驗證。 深入了解:https://aka.ms/cs/auth。 | 修改、停用 | 1.0.0 |
設定認知服務帳戶以停用公用網路存取 | 停用認知服務資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://go.microsoft.com/fwlink/?linkid=2129800。 | 已停用,修改 | 3.0.0 |
設定認知服務帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為認知服務帳戶。 深入了解:https://go.microsoft.com/fwlink/?linkid=2110097。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定認知服務帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | DeployIfNotExists, Disabled | 3.0.0 |
計算
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許的虛擬機大小 SKU | 此原則可讓您指定組織可部署的一組虛擬機大小 SKU。 | 拒絕 | 1.0.1 |
稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
稽核不使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
透過 Azure Site Recovery 啟用複寫,在虛擬機上設定災害復原 | 沒有災害復原設定的虛擬機很容易遭受中斷和其他中斷。 如果虛擬機尚未設定災害復原,這會使用預設設定啟用複寫來促進商務持續性,以起始相同的作業。 您可以選擇性地包含/排除包含指定標籤的虛擬機,以控制指派的範圍。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | DeployIfNotExists, Disabled | 2.1.0 |
設定磁碟存取資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為受控磁碟。 深入了解:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定磁碟存取資源 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至磁碟存取資源,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists, Disabled | 1.0.0 |
設定受控磁碟以停用公用網路存取 | 停用受控磁碟資源的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/disksprivatelinksdoc。 | 修改、停用 | 2.0.0 |
部署適用於 Windows Server 的預設 Microsoft IaaSAntimalware 擴充功能 | 當 VM 未設定反惡意代碼擴充功能時,此原則會部署具有預設設定的 Microsoft IaaSAntimalware 擴充功能。 | deployIfNotExists | 1.1.0 |
磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 要求高安全性,且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶,可以選擇使用平台代控加密金鑰,在基礎結構層使用不同的加密演算法/模式,多一層加密的保障。 需要有磁碟加密集,才能使用雙重加密。 深入了解:https://aka.ms/disks-doubleEncryption。 | Audit, Deny, Disabled | 1.0.0 |
受控磁碟應停用公用網路存取 | 停用公用網路存取可藉由確保受控磁碟不會在公用因特網上公開來改善安全性。 建立私人端點可以限制受控磁碟的曝光。 深入了解:https://aka.ms/disksprivatelinksdoc。 | Audit, Disabled | 2.0.0 |
受控磁碟應使用一組特定的磁碟加密集進行客戶管理的密鑰加密 | 需要一組特定的磁碟加密集搭配受控磁碟使用,可讓您控制用於待用加密的密鑰。 您可以選取允許的加密集,而當連結至磁碟時,所有其他集合都會遭到拒絕。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 2.0.0 |
適用於 Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定 Microsoft Antimalware 保護簽章自動更新的任何 Windows 虛擬機。 | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft IaaSAntimalware 擴充功能應該部署在 Windows 伺服器上 | 此原則會稽核任何未部署 Microsoft IaaSAntimalware 擴充功能的 Windows 伺服器 VM。 | AuditIfNotExists, Disabled | 1.1.0 |
應該只安裝核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機擴充功能。 | Audit, Deny, Disabled | 1.0.0 |
OS 和資料磁碟應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理受控磁碟內容的待用加密。 依預設,資料會使用平台代控金鑰進行待用加密,但若要遵循法規,通常需要有客戶自控金鑰。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 3.0.0 |
在匯出或上傳至磁碟或快照集時,使用驗證需求保護您的數據。 | 使用導出/上傳 URL 時,系統會檢查使用者在 Azure Active Directory 中是否有身分識別,並具有導出/上傳數據的必要許可權。 請參閱 aka.ms/DisksAzureADAuth。 | 修改、停用 | 1.0.0 |
需要 虛擬機器擴展集 上的自動OS映像修補 | 此原則會強制執行在 虛擬機器擴展集 上啟用自動OS映像修補,以透過每月安全地套用最新的安全性修補程式,確保 虛擬機器安全。 | 拒絕 | 1.0.0 |
虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 | Audit, Deny, Disabled | 1.0.0 |
虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
容器應用程式
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應在容器應用程式上啟用驗證 | Container Apps 驗證是一項功能,可避免匿名 HTTP 要求到達容器應用程式,或先驗證具有令牌的容器應用程式,再連線到容器應用程式 | AuditIfNotExists, Disabled | 1.0.1 |
容器應用程式環境應該使用網路插入 | Container Apps 環境應該使用虛擬網路插入:1.隔離容器應用程式與公用因特網 2.啟用與內部部署或其他 Azure 虛擬網路中資源的網路整合 3.達成更細微的控制,以更細微的方式控制流向環境之間的網路流量。 | 稽核、停用、拒絕 | 1.0.2 |
容器應用程式應設定磁碟區掛接 | 強制使用 Container Apps 的磁碟區掛接,以確保持續性記憶體容量的可用性。 | Audit, Deny, Disabled | 1.0.1 |
Container Apps 環境應該停用公用網路存取 | 透過內部負載平衡器公開 Container Apps 環境,以停用公用網路存取以改善安全性。 這會移除公用IP位址的需求,並防止因特網存取環境中的所有 Container Apps。 | Audit, Deny, Disabled | 1.0.1 |
容器應用程式應停用外部網路存取 | 藉由強制執行僅限內部的輸入,停用容器應用程式的外部網路存取。 這可確保 Container Apps 的輸入通訊僅限於 Container Apps 環境中的呼叫者。 | Audit, Deny, Disabled | 1.0.1 |
容器應用程式只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 停用 'allowInsecure' 會導致容器應用程式的 HTTP 要求自動重新導向至 HTTPS 連線。 | Audit, Deny, Disabled | 1.0.1 |
容器應用程式應啟用受控識別 | 強制執行受控識別可確保 Container Apps 可以安全地向任何支援 Azure AD 驗證的資源進行驗證 | Audit, Deny, Disabled | 1.0.1 |
容器執行個體
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 容器實例容器群組應部署至虛擬網路 | 使用 Azure 虛擬網絡 保護容器之間的通訊。 當您指定虛擬網路時,虛擬網路內的資源可以安全地與私下彼此通訊。 | 稽核、停用、拒絕 | 2.0.0 |
Azure 容器執行個體容器群組應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的容器。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | 稽核、停用、拒絕 | 1.0.0 |
將容器群組的診斷設定設定設定為Log Analytics工作區 | 部署容器實例的診斷設定,以在建立或更新遺漏此診斷設定的任何容器實例時,將資源記錄串流至Log Analytics工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
容器執行個體
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將容器群組的診斷設定為Log Analytics工作區 | 在建立或更新遺漏這些字段的任何容器群組時,附加指定的Log Analytics workspaceId 和 workspaceKey。 在變更這些資源群組之前,不會修改在此原則套用之前建立的容器群組字段。 | Append、Disabled | 1.0.0 |
Container Registry
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定容器登錄以停用匿名驗證。 | 停用登錄的匿名提取,讓未經驗證的用戶無法存取數據。 停用本機驗證方法,例如系統管理員使用者、存放庫範圍存取令牌和匿名提取,可確保容器登錄完全要求 Azure Active Directory 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.0 |
設定容器登錄以停用ARM物件令牌驗證。 | 停用 Azure Active Directory ARM 物件令牌,以向登錄進行驗證。 只有 Azure Container Registry (ACR) 物件令牌才會用於驗證。 這可確保只有登錄上用於驗證的令牌。 停用 ARM 物件令牌不會影響系統管理員使用者的或限定範圍的存取令牌驗證。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.0 |
設定容器登錄以停用本機系統管理員帳戶。 | 停用登錄的系統管理員帳戶,讓本機系統管理員無法存取它。停用本機驗證方法,例如系統管理員使用者、存放庫範圍存取令牌和匿名提取,可確保容器登錄完全要求 Azure Active Directory 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.1 |
設定容器登錄以停用公用網路存取 | 停用 Container Registry 資源的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 在和 https://aka.ms/acr/private-link深入瞭解https://aka.ms/acr/portal/public-network。 | 修改、停用 | 1.0.0 |
設定容器登錄以停用存放庫範圍存取令牌。 | 停用登錄的存放庫範圍存取令牌,讓令牌無法存取存放庫。 停用本機驗證方法,例如系統管理員使用者、存放庫範圍存取令牌和匿名提取,可確保容器登錄完全要求 Azure Active Directory 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.0 |
設定容器登錄以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至您的 Container Registry。 若要深入瞭解,請參閱: https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link。 | DeployIfNotExists, Disabled | 1.0.1 |
使用私人端點設定容器登錄 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至進階容器登錄資源,您可以降低數據外泄風險。 若要深入瞭解,請參閱: https://aka.ms/privateendpoints 和 https://aka.ms/acr/private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
容器登錄應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK。 | Audit, Deny, Disabled | 1.1.2 |
容器登錄應該已停用匿名驗證。 | 停用登錄的匿名提取,讓未經驗證的用戶無法存取數據。 停用本機驗證方法,例如系統管理員使用者、存放庫範圍存取令牌和匿名提取,可確保容器登錄完全要求 Azure Active Directory 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應該停用ARM物件令牌驗證。 | 停用 Azure Active Directory ARM 物件令牌,以向登錄進行驗證。 只有 Azure Container Registry (ACR) 物件令牌才會用於驗證。 這可確保只有登錄上用於驗證的令牌。 停用 ARM 物件令牌不會影響系統管理員使用者的或限定範圍的存取令牌驗證。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應該已停用導出 | 停用導出可藉由確保僅透過數據平面 ('docker pull')存取登錄中的數據來改善安全性。 數據無法透過「acr 匯入」或「acr 傳輸」從登錄移出。 若要停用導出,必須停用公用網路存取。 深入了解:https://aka.ms/acr/export-policy。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應該停用本機系統管理員帳戶。 | 停用登錄的系統管理員帳戶,讓本機系統管理員無法存取它。停用本機驗證方法,例如系統管理員使用者、存放庫範圍存取令牌和匿名提取,可確保容器登錄完全要求 Azure Active Directory 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.1 |
容器登錄應該停用存放庫範圍存取令牌。 | 停用登錄的存放庫範圍存取令牌,讓令牌無法存取存放庫。 停用本機驗證方法,例如系統管理員使用者、存放庫範圍存取令牌和匿名提取,可確保容器登錄完全要求 Azure Active Directory 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應該有支援 Private Link 的 SKU | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的容器登錄,而不是整個服務,數據外泄風險就會降低。 深入了解:https://aka.ms/acr/private-link。 | Audit, Deny, Disabled | 1.0.0 |
不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 及 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
容器登錄應防止建立快取規則 | 停用 Azure Container Registry 的快取規則建立,以防止提取快取提取。 深入了解:https://aka.ms/acr/cache。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
容器登錄應停用公用網路存取 | 停用公用網路存取可藉由確保不會在公用因特網上公開容器登錄來改善安全性。 建立私人端點可能會限制容器登錄資源的暴露。 若要深入瞭解,請參閱: https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link。 | Audit, Deny, Disabled | 1.0.0 |
Cosmos DB
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.0.0 |
Azure Cosmos DB 帳戶不應超過自上次重新產生帳戶密鑰以來所允許的最大天數。 | 在指定的時間重新產生金鑰,讓您的資料受到更保護。 | Audit, Disabled | 1.0.0 |
Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/cosmosdb-cmk。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure Cosmos DB 允許的位置 | 此原則可讓您限制貴組織在部署 Azure Cosmos DB 資源時可指定的位置。 它可用來強制執行地理合規性需求。 | [parameters('policyEffect')] | 1.1.0 |
應停用以 Azure Cosmos DB 金鑰為基礎的元數據寫入存取 | 此原則可讓您確保所有 Azure Cosmos DB 帳戶停用密鑰型元數據寫入存取。 | 附加 | 1.0.0 |
Azure Cosmos DB 應停用公用網路存取 | 停用公用網路存取可確保 CosmosDB 帳戶不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您 CosmosDB 帳戶的曝光。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit, Deny, Disabled | 1.0.0 |
Azure Cosmos DB 輸送量應受到限制 | 此原則可讓您限制組織透過資源提供者建立 Azure Cosmos DB 資料庫和容器時可指定的最大輸送量。 它會封鎖自動調整資源的建立。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
設定 Cosmos DB 資料庫帳戶以停用本機驗證 | 停用本機驗證方法,讓您的 Cosmos DB 資料庫帳戶完全需要 Azure Active Directory 身分識別進行驗證。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | 修改、停用 | 1.1.0 |
設定 CosmosDB 帳戶以停用公用網路存取 | 停用 CosmosDB 資源的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | 修改、停用 | 1.0.1 |
設定 CosmosDB 帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 CosmosDB 帳戶。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 2.0.0 |
使用私人端點設定 CosmosDB 帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 CosmosDB 帳戶,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
Cosmos DB 資料庫帳戶應已停用本機驗證方法 | 停用本機驗證方法可確保 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit, Deny, Disabled | 1.1.0 |
CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
部署 Cosmos DB 帳戶的進階威脅防護 | 此原則可跨 Cosmos DB 帳戶啟用進階威脅防護。 | DeployIfNotExists, Disabled | 1.0.0 |
自訂提供者
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
部署自定義提供者的關聯 | 部署關聯資源,將選取的資源類型與指定的自定義提供者產生關聯。 此原則部署不支援巢狀資源類型。 | deployIfNotExists | 1.0.0 |
資料箱
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密 | 針對裝置上的待用資料啟用軟體型的第二層加密。 裝置已透過進階加密標準的 256 位加密來保護待用資料。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 1.0.0 |
Azure 資料箱作業應使用客戶自控金鑰加密裝置解除鎖定密碼 | 使用客戶自控金鑰控制 Azure 資料箱的裝置解除鎖定密碼加密。 客戶自控金鑰也有助於管理資料箱服務對裝置解除鎖定密碼的存取權,以便準備裝置並自動複製資料。 裝置本身上的資料已使用進階加密標準 256 位加密進行待用加密,而裝置解除鎖定密碼預設會使用 Microsoft 受控金鑰加密。 | Audit, Deny, Disabled | 1.0.0 |
Data Factory
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure Data Factory 管線應該只與允許的網域通訊 | 若要防止數據與令牌外流,請設定應該允許 Azure Data Factory 與其通訊的網域。 注意:在公開預覽期間,不會報告此原則的合規性,以及要套用至 Data Factory 的原則,請在 ADF Studio 中啟用輸出規則功能。 如需詳細資訊,請瀏覽 https://aka.ms/data-exfiltration-policy。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
Azure 資料處理站應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理 Azure Data Factory 的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/adf-cmk。 | Audit, Deny, Disabled | 1.0.1 |
Azure Data Factory 整合運行時間應有核心數目的限制 | 若要管理您的資源和成本,請限制整合運行時間的核心數目。 | Audit, Deny, Disabled | 1.0.0 |
Azure Data Factory 連結服務資源類型應位於允許清單中 | 定義 Azure Data Factory 連結服務類型的允許清單。 限制允許的資源類型可控制數據移動的界限。 例如,將範圍限製為只允許具有 Data Lake 儲存體 Gen1 和 Gen2 的 Blob 記憶體進行分析,或限制為只允許 SQL 和 Kusto 存取實時查詢的範圍。 | Audit, Deny, Disabled | 1.1.0 |
Azure Data Factory 連結服務應該使用 金鑰保存庫 來儲存秘密 | 若要確保安全地管理秘密(例如 連接字串),要求使用者使用 Azure 金鑰保存庫 提供秘密,而不是在鏈接的服務中內嵌指定秘密。 | Audit, Deny, Disabled | 1.0.0 |
支援 Azure Data Factory 連結服務時,應該使用系統指派的受控識別驗證 | 透過連結服務與數據存放區通訊時,使用系統指派的受控識別,可避免使用較不安全的認證,例如密碼或 連接字串。 | Audit, Deny, Disabled | 2.1.0 |
Azure Data Factory 應該使用 Git 存放庫進行原始檔控制 | 僅使用 Git 整合設定您的開發資料處理站。 測試與生產環境的變更應該透過 CI/CD 部署,而且不應該有 Git 整合。 請勿在您的 QA/測試/生產數據處理站上套用此原則。 | Audit, Deny, Disabled | 1.0.1 |
Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Data Factory 以停用公用網路存取 | 停用 Data Factory 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | 修改、停用 | 1.0.0 |
為連線至 Azure Data Factory 的私人端點設定私人 DNS 區域 | 私用 DNS 記錄允許私人端點的私人連線。 私人端點連線允許安全通訊,方法是啟用 Azure Data Factory 的私人連線,而不需要來源或目的地上的公用 IP 位址。 如需 Azure Data Factory 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Data Factory 的私人端點 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Data Factory,您可以降低數據外泄風險。 深入了解:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists, Disabled | 1.1.0 |
應停用 Azure Data Factory 上的公用網路存取 | 停用公用網路存取屬性可確保 Azure Data Factory 只能從私人端點存取,藉此改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
Azure Data Factory 上的 SQL Server Integration Services 整合運行時間應加入虛擬網路 | Azure 虛擬網絡 部署可為 Azure Data Factory 上的 SQL Server Integration Services 整合運行時間,以及子網、訪問控制原則和其他功能提供增強的安全性和隔離,以進一步限制存取。 | Audit, Deny, Disabled | 2.3.0 |
Data Lake
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
需要 Data Lake Store 帳戶的加密 | 此原則可確保在所有 Data Lake Store 帳戶上啟用加密 | 拒絕 | 1.0.0 |
應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
桌面虛擬化
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 虛擬桌面主機集區應停用公用網路存取 | 停用公用網路存取可改善安全性,並確保 Azure 虛擬桌面服務的存取不會公開至公用因特網,進而保護您的數據安全。 深入了解:https://aka.ms/avdprivatelink。 | Audit, Deny, Disabled | 1.0.0 |
Azure 虛擬桌面主機集區應該只在會話主機上停用公用網路存取 | 停用 Azure 虛擬桌面主機集區會話主機的公用網路存取,但允許終端使用者的公用存取可藉由限制公開至公用因特網來改善安全性。 深入了解:https://aka.ms/avdprivatelink。 | Audit, Deny, Disabled | 1.0.0 |
Azure 虛擬桌面服務應使用私人連結 | 搭配 Azure 虛擬桌面資源使用 Azure Private Link 可以改善安全性,並保護您的數據安全。 深入了解私人連結:https://aka.ms/avdprivatelink。 | Audit, Disabled | 1.0.0 |
Azure 虛擬桌面工作區應停用公用網路存取 | 停用 Azure 虛擬桌面工作區資源的公用網路存取,可防止透過公用因特網存取摘要。 只允許專用網存取可改善安全性,並保護您的數據安全。 深入了解:https://aka.ms/avdprivatelink。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure 虛擬桌面主機集區資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure 虛擬桌面資源。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 虛擬桌面主機集區以停用公用網路存取 | 停用 Azure 虛擬桌面主機集區資源上會話主機和終端使用者的公用網路存取,使其無法透過公用因特網存取。 這可改善安全性,並保護您的數據安全。 深入了解:https://aka.ms/avdprivatelink。 | 修改、停用 | 1.0.0 |
設定 Azure 虛擬桌面主機集區,僅針對工作階段主機停用公用網路存取 | 停用 Azure 虛擬桌面主機集區會話主機的公用網路存取,但允許終端使用者的公用存取。 這可讓使用者仍然存取AVD服務,同時確保會話主機只能透過私人路由存取。 深入了解:https://aka.ms/avdprivatelink。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure 虛擬桌面主機集區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure 虛擬桌面資源,您可以改善安全性並保護您的數據安全。 深入了解:https://aka.ms/avdprivatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 虛擬桌面工作區資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure 虛擬桌面資源。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 虛擬桌面工作區以停用公用網路存取 | 停用 Azure 虛擬桌面工作區資源的公用網路存取,因此無法透過公用因特網存取摘要。 這可改善安全性,並保護您的數據安全。 深入了解:https://aka.ms/avdprivatelink。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure 虛擬桌面工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure 虛擬桌面資源,您可以改善安全性並保護您的數據安全。 深入了解:https://aka.ms/avdprivatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
ElasticSan
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
ElasticSan 應該停用公用網路存取 | 停用 ElasticSan 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
ElasticSan 磁碟區群組應使用客戶管理的金鑰來加密待用數據 | 使用客戶管理的金鑰來管理 VolumeGroup 的待用加密。 根據預設,客戶數據會使用平臺管理的密鑰加密,但通常需要 CMK 才能符合法規合規性標準。 客戶管理的金鑰可讓數據使用由您建立和擁有的 Azure 金鑰保存庫 金鑰加密,並完全控制及負責,包括輪替和管理。 | Audit, Disabled | 1.0.0 |
ElasticSan 磁碟區群組應使用私人端點 | 私人端點可讓系統管理員將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至磁碟區群組,系統管理員可以降低數據外泄風險 | Audit, Disabled | 1.0.0 |
Event Grid
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 事件方格 網域應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/privateendpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格 網域應停用本機驗證方法 | 停用本機驗證方法可確保 Azure 事件方格 網域完全需要 Azure Active Directory 身分識別進行驗證,藉此改善安全性。 深入了解:https://aka.ms/aeg-disablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
Azure 事件方格 命名空間 MQTT 訊息代理程式應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至事件方格命名空間,而不是整個服務,您也會受到數據外泄風險的保護。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | Audit, Disabled | 1.0.0 |
Azure 事件方格 命名空間主題代理程序應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至事件方格命名空間,而不是整個服務,您也會受到數據外泄風險的保護。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | Audit, Disabled | 1.0.0 |
Azure 事件方格 命名空間應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格 夥伴命名空間應停用本機驗證方法 | 停用本機驗證方法可確保 Azure 事件方格 合作夥伴命名空間完全需要 Azure Active Directory 身分識別進行驗證,藉此改善安全性。 深入了解:https://aka.ms/aeg-disablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格 主題應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/privateendpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格 主題應停用本機驗證方法 | 停用本機驗證方法可確保 Azure 事件方格 主題完全需要 Azure Active Directory 身分識別進行驗證,藉此改善安全性。 深入了解:https://aka.ms/aeg-disablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
設定 Azure 事件方格 網域以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 事件方格 網域完全需要 Azure Active Directory 身分識別進行驗證。 深入了解:https://aka.ms/aeg-disablelocalauth。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure 事件方格 命名空間 MQTT 訊息代理程式 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的資源,它們將受到保護,以免數據外泄風險。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 事件方格 命名空間 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的資源,它們將受到保護,以免數據外泄風險。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 事件方格 合作夥伴命名空間以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 事件方格 合作夥伴命名空間完全需要 Azure Active Directory 身分識別進行驗證。 深入了解:https://aka.ms/aeg-disablelocalauth。 | 修改、停用 | 1.0.0 |
設定 Azure 事件方格 主題以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 事件方格 主題完全需要 Azure Active Directory 身分識別進行驗證。 深入了解:https://aka.ms/aeg-disablelocalauth。 | 修改、停用 | 1.0.0 |
部署 -設定 Azure 事件方格 網域以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
部署 - 使用私人端點設定 Azure 事件方格 網域 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的資源,它們將受到保護,以免數據外泄風險。 深入了解:https://aka.ms/privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 -設定 Azure 事件方格 主題以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
部署 - 使用私人端點設定 Azure 事件方格 主題 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的資源,它們將受到保護,以免數據外泄風險。 深入了解:https://aka.ms/privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
修改 - 設定 Azure 事件方格 網域以停用公用網路存取 | 停用 Azure 事件方格 資源的公用網路存取,使其無法透過公用因特網存取。 這有助於保護它們免於數據外泄風險。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
修改 - 設定 Azure 事件方格 主題以停用公用網路存取 | 停用 Azure 事件方格 資源的公用網路存取,使其無法透過公用因特網存取。 這有助於保護它們免於數據外泄風險。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
事件中樞
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
除了 RootManageSharedAccessKey 以外的所有授權規則,都應該從事件中樞命名空間中移除 | 事件中樞用戶端不應該使用命名空間層級存取原則,以提供命名空間中所有佇列和主題的存取權。 若要配合最低許可權安全性模型,您應該在佇列和主題的實體層級建立存取原則,只提供特定實體的存取權 | Audit, Deny, Disabled | 1.0.1 |
應定義事件中樞執行個體上的授權規則 | 稽核事件中樞實體上授權規則是否存在,以授與最低許可權存取權 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 事件中樞命名空間應停用本機驗證方法 | 停用本機驗證方法可藉由確保 Azure 事件中樞命名空間完全要求 Microsoft Entra ID 身分識別進行驗證,以改善安全性。 深入了解:https://aka.ms/disablelocalauth-eh。 | Audit, Deny, Disabled | 1.0.1 |
設定 Azure 事件中樞命名空間以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 事件中樞命名空間完全需要 Microsoft Entra ID 身分識別進行驗證。 深入了解:https://aka.ms/disablelocalauth-eh。 | 修改、停用 | 1.0.1 |
設定事件中樞命名空間以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為事件中樞命名空間。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定事件中樞命名空間 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至事件中樞命名空間,您可以降低數據外泄風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
事件中樞命名空間應停用公用網路存取 | Azure 事件中樞應停用公用網路存取。 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Deny, Disabled | 1.0.0 |
事件中樞命名空間應已啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 1.0.0 |
事件中樞命名空間應使用客戶自控金鑰進行加密 | Azure 事件中樞支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。 選擇使用客戶自控金鑰來加密資料,可讓您指派、輪替、停用及撤銷事件中樞將用來加密命名空間中資料的金鑰存取權。 請注意,事件中樞僅支援使用客戶自控金鑰來加密專用叢集中的命名空間。 | Audit, Disabled | 1.0.0 |
事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
液體轉接器
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
流暢轉接應該使用客戶管理的密鑰來加密待用數據 | 使用客戶管理的金鑰來管理流轉伺服器其餘部分的加密。 根據預設,客戶數據會使用服務管理的密鑰加密,但通常需要 CMK 才能符合法規合規性標準。 客戶管理的金鑰可讓數據使用由您建立及擁有的 Azure 金鑰保存庫 金鑰加密,並完全控制及負責,包括輪替和管理。 深入了解:https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys。 | Audit, Disabled | 1.0.0 |
一般
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: 不允許刪除資源類型 | 此原則可讓您指定組織可以使用拒絕動作效果封鎖刪除呼叫,以防止意外刪除的資源類型。 | DenyAction、Disabled | 1.0.0-preview |
允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用 'global' 區域的資源。 | 拒絕 | 1.0.0 |
允許資源群組的位置 | 此原則可讓您限制組織可以建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
允許的資源類型 | 此原則可讓您指定組織可以部署的資源類型。 只有支援 「標記」和「位置」的資源類型才會受到此原則的影響。 若要限制所有資源,請複製此原則,並將 『mode』 變更為 『All』。 | 拒絕 | 1.0.0 |
稽核資源位置符合資源群組位置 | 稽核資源位置是否符合其資源群組位置 | 稽核 | 2.0.0 |
稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
設定訂用帳戶以設定預覽功能 | 此原則會評估現有訂用帳戶的預覽功能。 您可以補救訂用帳戶以註冊至新的預覽功能。 新的訂用帳戶將不會自動註冊。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
不允許 M365 資源 | 封鎖 M365 資源的建立。 | Audit, Deny, Disabled | 1.0.0 |
不允許MCPP資源 | 封鎖建立MCPP資源。 | Audit, Deny, Disabled | 1.0.0 |
排除使用量成本資源 | 此原則可讓您提供使用量成本資源。 使用量成本包括計量付費記憶體和 Azure 資源等專案,這些資源會根據使用量計費。 | Audit, Deny, Disabled | 1.0.0 |
不允許的資源類型 | 限制可在您的環境中部署哪些資源類型。 限制資源類型可以降低環境的複雜性和受攻擊面,同時協助管理成本。 合規性結果只會針對不符合規範的資源顯示。 | Audit, Deny, Disabled | 2.0.0 |
來賓設定
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:新增使用者指派的受控識別,以在虛擬機上啟用客體設定指派 | 此原則會將使用者指派的受控識別新增至 Azure 中裝載的虛擬機,並由來賓設定支援。 使用者指派的受控識別是所有客體設定指派的必要條件,而且在使用任何客體設定原則定義之前,必須先新增至機器。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
[預覽]:將 Windows Server 設定為停用本機使用者。 | 建立來賓設定指派,以設定在 Windows Server 上停用本機使用者。 這可確保 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | DeployIfNotExists, Disabled | 1.2.0-preview |
[預覽]:延伸安全性 更新 應該安裝在 Windows Server 2012 Arc 計算機上。 | Windows Server 2012 Arc 計算機應該已安裝 Microsoft 發行的所有擴充安全性 更新。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資訊,請造訪 https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Linux 機器應符合 Docker 主機的 Azure 安全性基準需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 機器未針對 Docker 主機的 Azure 安全性基準中的其中一個建議正確設定。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:Linux 機器應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果機器未針對 Azure 計算的 STIG 合規性需求中的其中一個建議正確設定,則機器不符合規範。 DISA (國防資訊系統局) 提供技術指南 STIG (安全性技術實作指南) ,以確保國防部 (DoD) 所需的計算 OS 安全。 如需詳細資訊,請參閱 https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:已安裝 OMI 的 Linux 機器應該有 1.6.8-1 版或更新版本 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 由於 Linux OMI 套件 1.6.8-1 版中包含的安全性修正,所有機器都應該更新為最新版本。 升級使用 OMI 解決問題的應用程式/套件。 如需詳細資訊,請參閱https://aka.ms/omiguidance。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:Linux 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。 | 根據預設,虛擬機器的 OS 和資料磁碟會使用平台代控金鑰進行待用加密;暫存磁碟和資料快取不會加密,而且資料在計算與儲存體資源之間流動時不會加密。 使用 Azure 磁碟加密或 EncryptionAtHost 來加密所有這些資料。請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應項目。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]: Nexus 計算機器應符合安全性基準 | 利用 Azure 原則 客體設定代理程式進行稽核。 此原則可確保機器遵守 Nexus 計算安全性基準,其中包含各種建議,旨在針對各種弱點和不安全設定來強化計算機(僅限 Linux)。 | AuditIfNotExists, Disabled | 1.1.0-preview |
[預覽]:Windows 機器應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果機器未針對 Azure 計算的 STIG 合規性需求中的其中一個建議正確設定,則機器不符合規範。 DISA (國防資訊系統局) 提供技術指南 STIG (安全性技術實作指南) ,以確保國防部 (DoD) 所需的計算 OS 安全。 如需詳細資訊,請參閱 https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。 | 根據預設,虛擬機器的 OS 和資料磁碟會使用平台代控金鑰進行待用加密;暫存磁碟和資料快取不會加密,而且資料在計算與儲存體資源之間流動時不會加密。 使用 Azure 磁碟加密或 EncryptionAtHost 來加密所有這些資料。請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應項目。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.1.0-preview |
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核未安裝指定應用程式的Linux機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出未安裝 參數提供的一或多個套件,則機器不符合規範。 | AuditIfNotExists, Disabled | 4.2.0 |
稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核已安裝指定應用程式的Linux機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出已安裝 參數提供的一或多個套件,則機器不符合規範。 | AuditIfNotExists, Disabled | 4.2.0 |
稽核遺漏 管理員 istrators 群組中任何指定成員的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機 管理員 istrators 群組不包含原則參數中所列的一或多個成員,則計算機不符合規範。 | auditIfNotExists | 2.0.0 |
稽核 Windows 電腦網路連線能力 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 IP 和 TCP 連接埠的網路連線狀態不符合原則參數,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核 DSC 設定不符合規範的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 傳回機器的 DSC 設定不符合規範,則計算機不符合規範。 | auditIfNotExists | 3.0.0 |
稽核 Log Analytics 代理程式未如預期般連線的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果未安裝代理程式,或已安裝代理程式,或如果已安裝,但 COM 物件 AgentConfigManager.MgmtSvcCfg 會傳回它註冊到原則參數中所指定標識符以外的工作區。 | auditIfNotExists | 2.0.0 |
稽核未安裝指定服務的 Windows 機器,並「執行中」 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的結果不包含符合原則參數所指定狀態的服務名稱,則機器不符合規範。 | auditIfNotExists | 3.0.0 |
稽核未啟用 Windows 序列控制台的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果計算機未安裝序列控制台軟體,或EMS埠號碼或包機速率未設定與原則參數相同的值,則電腦不符合規範。 | auditIfNotExists | 3.0.0 |
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許在指定的唯一密碼數目之後重複使用密碼的 Windows 計算機,計算機即不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未加入指定網域的 Windows 計算機 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中的 Domain 屬性值win32_computersystem不符合原則參數中的值,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核未設定為指定時區的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中 StandardName 屬性的值Win32_TimeZone不符合原則參數選取的時區,則機器不符合規範。 | auditIfNotExists | 3.0.0 |
稽核包含憑證在指定天數內到期的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果指定存放區中的憑證在指定天數內有到期日超出範圍,則機器不符合規範。 此原則也提供選項,僅檢查特定憑證或排除特定憑證,以及是否報告過期的憑證。 | auditIfNotExists | 2.0.0 |
稽核不包含受信任根目錄中指定憑證的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果計算機信任的跟證書存儲 (Cert:\LocalMachine\Root) 未包含原則參數所列出的一或多個憑證,則機器不符合規範。 | auditIfNotExists | 3.0.0 |
稽核未將密碼存留期上限設定為指定天數的 Windows 計算機 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼存留期上限設定為指定的天數,則電腦不符合規範。 最大密碼存留期的預設值為70天 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未將最小密碼存留期設定為指定天數的 Windows 計算機 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼存留期下限設定為指定的天數,則電腦不符合規範。 最小密碼存留期的預設值為1天 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
稽核沒有指定 Windows PowerShell 執行原則的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 傳回原則參數中選取的值,則計算機不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核未安裝指定 Windows PowerShell 模組的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果模組在環境變數 PSModulePath 所指定的位置無法使用,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核未將密碼長度下限限制為指定字元數目的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼長度下限限制為指定的字元數,則電腦不符合規範。 密碼長度下限的預設值為14個字元 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
稽核未安裝指定應用程式的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果下列任何登錄路徑中找不到應用程式名稱,則計算機不相容:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
稽核在 管理員 istrators 群組中具有額外帳戶的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機 管理員 istrators 群組包含未列在原則參數中的成員,則計算機不符合規範。 | auditIfNotExists | 2.0.0 |
稽核未在指定天數內重新啟動的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果類別中的 WMI 屬性 LastBootUpTime Win32_Operatingsystem超出原則參數所提供的天數範圍,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核已安裝指定應用程式的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果在下列任一登錄路徑中找到應用程式名稱,則計算機不相容:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
稽核具有 管理員 istrators 群組中指定成員的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機 管理員 istrators 群組包含原則參數中列出的一或多個成員,則機器不相容。 | auditIfNotExists | 2.0.0 |
稽核擱置重新啟動的 Windows VM | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果計算機因下列任何原因而擱置重新啟動,則機器不符合規範:元件型服務、Windows Update、擱置檔案重新命名、擱置的計算機重新命名、擱置的計算機重新命名、組態管理員擱置重新啟動。 每個偵測都有唯一的登錄路徑。 | auditIfNotExists | 2.0.0 |
對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
將 Linux 伺服器設定為停用本機使用者。 | 建立客體設定指派,以設定在Linux Server上停用本機使用者。 這可確保Linux伺服器只能由AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | DeployIfNotExists, Disabled | 1.3.0-preview |
在 Windows 電腦上設定安全通訊協定(TLS 1.1 或 TLS 1.2) | 建立客體設定指派,以在 Windows 計算機上設定指定的安全通訊協定版本(TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists, Disabled | 1.0.1 |
在 Windows 電腦上設定時區。 | 此原則會建立客體設定指派,以在 Windows 虛擬機上設定指定的時區。 | deployIfNotExists | 2.1.0 |
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
Linux 機器應在 Azure Arc 上安裝 Log Analytics 代理程式 | 如果已啟用 Azure Arc 的 Linux 伺服器上未安裝 Log Analytics 代理程式,則機器不相容。 | AuditIfNotExists, Disabled | 1.1.0 |
Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
Linux 機器應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用戶帳戶是管理身分識別的最佳做法。 減少本機計算機帳戶有助於防止在中央系統外部管理的身分識別激增。 如果本機用戶帳戶已啟用且未列在原則參數中,則計算機不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
Linux 電腦上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 伺服器未停用本機驗證方法,則機器不符合規範。 這是為了驗證 Linux 伺服器只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | AuditIfNotExists, Disabled | 1.2.0-preview |
應在 Windows Server 上停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 伺服器未停用本機驗證方法,則電腦不符合規範。 這是為了驗證 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | AuditIfNotExists, Disabled | 1.0.0-preview |
應啟用客體設定指派的私人端點 | 私人端點聯機會為虛擬機啟用客體設定的私人連線,以強制執行安全通訊。 除非虛擬機具有 『EnablePrivateNetworkGC』 標籤,否則虛擬機會不符合規範。 此標籤會透過對客體設定的私人連線來強制執行安全通訊,以進行 虛擬機器。 私人聯機會限制來自已知網路的流量存取,並防止來自所有其他IP位址的存取,包括 Azure 內。 | Audit, Deny, Disabled | 1.1.0 |
應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 機器應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應該使用最新版的業界標準密碼編譯通訊協定、傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
Windows 計算機應將 Windows Defender 設定為在一天內更新保護簽章 | 若要針對新發行的惡意代碼提供適當的保護,Windows Defender 保護簽章必須定期更新,以考慮新發行的惡意代碼。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
Windows 計算機應啟用 Windows Defender 實時保護 | Windows 計算機應該啟用 Windows Defender 中的即時保護,以針對新發行的惡意代碼提供適當的保護。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
Windows 機器應在 Azure Arc 上安裝 Log Analytics 代理程式 | 如果已啟用 Azure Arc 的 Windows 伺服器上未安裝 Log Analytics 代理程式,則機器不相容。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 計算機應符合「管理員 範本 - 控制台」的需求 | Windows 計算機應該在 [管理員 原則範本 - 控制台] 類別中指定組策略設定,以輸入個人化和防止啟用鎖定畫面。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「管理員 原則範本 - MSS (舊版)」 的需求 | Windows 計算機應該在 [管理員 原則範本 - MSS (舊版)] 類別中具有指定的組策略設定,以便自動登入、螢幕保護程式、網路行為、安全 DLL 和事件記錄檔。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「管理員 範本 - 網路」的需求 | Windows 計算機應該在來賓登入、同時連線、網路網橋、ICS 和多播名稱解析的「管理員 原則 - 網路」類別中指定組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「管理員 範本 - 系統」的需求 | Windows 電腦應具有 「管理員 原則 - 系統」類別中指定組策略設定,以用於控制系統管理體驗和遠端協助的設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 帳戶」的需求 | Windows 計算機應該在 [安全性選項 - 帳戶] 類別中具有指定的組策略設定,以限制本機帳戶使用空白密碼和來賓帳戶狀態。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 稽核」的需求 | Windows 計算機應該在 [安全性選項 - 稽核] 類別中具有指定的組策略設定,以強制稽核原則子類別,並在無法記錄安全性稽核時關閉。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 裝置」的需求 | Windows 計算機應該在 [安全性選項 - 裝置] 類別中具有指定的組策略設定,不需要登入、安裝列印驅動程式,以及格式化/退出媒體。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 互動式登錄」的需求 | Windows 計算機應該在 [安全性選項 - 互動式登錄] 類別中具有指定的組策略設定,以顯示姓氏,且需要 ctrl-alt-del。此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - Microsoft 網路用戶端」的需求 | Windows 計算機應該在 Microsoft 網络用戶端/伺服器和 SMB v1 的 [安全性選項 - Microsoft 網络用戶端] 類別中具有指定的組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - Microsoft 網路伺服器」的需求 | Windows 計算機應該在 [安全性選項 - Microsoft 網络伺服器] 類別中具有指定的組策略設定,以停用 SMB v1 伺服器。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 網路存取」的需求 | Windows 計算機應該在 [安全性選項 - 網络存取] 類別中具有指定的組策略設定,包括匿名使用者、本機帳戶和登錄遠端訪問。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 網路安全性」的需求 | Windows 計算機應該在 [安全性選項 - 網络安全] 類別中具有指定的組策略設定,包括本機系統行為、PKU2U、LAN Manager、LDAP 用戶端和 NTLM SSP。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 復原主控台」的需求 | Windows 電腦應在 [安全性選項 - 復原控制台] 類別中具有指定的組策略設定,以允許磁碟驅動器複製和存取所有磁碟驅動器和資料夾。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 關機」的需求 | Windows 計算機應該在 [安全性選項 - 關機] 類別中具有指定的組策略設定,以允許在不登入的情況下關機,並清除虛擬記憶體頁面檔。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 系統物件」的需求 | Windows 計算機應該在 [安全性選項 - 系統物件] 類別中具有指定的組策略設定,以區分非 Windows 子系統和內部系統物件的許可權。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 系統設定」的需求 | Windows 電腦應該在 SRP 和選擇性子系統可執行檔的憑證規則的 [安全性選項 - 系統設定] 類別中具有指定的組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 用戶帳戶控制」的需求 | Windows 計算機應該在系統管理員模式的 [安全性選項 - 使用者帳戶控制] 類別中具有指定的組策略設定、提高許可權提示的行為,以及虛擬化檔案和登錄寫入失敗。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性 設定 - 帳戶原則」的需求 | Windows 計算機應該在密碼歷程記錄、存留期、長度、複雜度,以及使用可逆加密來儲存密碼的「安全性 設定 - 帳戶原則」類別中指定組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統審核策略 - 帳戶登入」的需求 | Windows 計算機應該在 [系統審核策略 - 帳戶登入] 類別中具有指定的組策略設定,以稽核認證驗證和其他帳戶登入事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 帳戶管理」的需求 | Windows 計算機應該在 [系統審核策略 - 帳戶管理] 類別中具有指定的組策略設定,以稽核應用程式、安全性和使用者群組管理,以及其他管理事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統審核策略 - 詳細追蹤」的需求 | Windows 計算機應該在 [系統審核策略 - 詳細追蹤] 類別中具有指定的組策略設定,以稽核 DPAPI、程式建立/終止、RPC 事件和 PNP 活動。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統審核策略 - 登入註銷」的需求 | Windows 計算機應該在 [系統審核策略 - 登入註銷] 類別中指定組策略設定,以稽核 IPSec、網路原則、宣告、帳戶鎖定、群組成員資格和登入/註銷事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 物件存取」的需求 | Windows 計算機應該在 [系統審核策略 - 物件存取] 類別中指定組策略設定,以稽核檔案、登錄、SAM、記憶體、篩選、核心和其他系統類型。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 原則變更」的需求 | Windows 計算機應該在 [系統審核策略 - 原則變更] 類別中具有指定的組策略設定,以稽核系統審核策略的變更。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 許可權使用」的需求 | Windows 計算機應該在 [系統審核策略 - 許可權使用] 類別中具有指定的組策略設定,以稽核不區分許可權和其他許可權使用。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「系統審核策略 - 系統」的需求 | Windows 計算機應該在 [系統審核策略 - 系統] 類別中具有指定的組策略設定,以稽核 IPsec 驅動程式、系統完整性、系統延伸模組、狀態變更和其他系統事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「用戶權力指派」的需求 | Windows 計算機應該在 [用戶權力指派] 類別中具有指定的組策略設定,以允許在本機登入、RDP、從網路存取,以及許多其他用戶活動。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「Windows 元件」的需求 | Windows 計算機應該在 「Windows 元件」類別中具有指定的組策略設定,以進行基本身份驗證、未加密的流量、Microsoft 帳戶、遙測、Cortana 和其他 Windows 行為。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「Windows 防火牆屬性」的需求 | Windows 計算機應該在防火牆狀態、連線、規則管理和通知類別的 [Windows 防火牆屬性] 類別中具有指定的組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 計算機應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支援此定義。 使用 Azure Active Directory 管理用戶帳戶是管理身分識別的最佳做法。 減少本機計算機帳戶有助於防止在中央系統外部管理的身分識別激增。 如果本機用戶帳戶已啟用且未列在原則參數中,則計算機不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 計算機應排程 Windows Defender 每天執行排程掃描 | 若要確保提示偵測惡意代碼並將其對系統的影響降到最低,建議使用 Windows Defender 的 Windows 計算機排程每日掃描。 請確定已支援 Windows Defender、預安裝於裝置上,並部署客體設定必要條件。 不符合這些需求可能會導致評估結果不正確。 在深入瞭解客體設定 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.2.0 |
Windows 計算機應該使用預設 NTP 伺服器 | 將 「time.windows.com」設定為所有 Windows 電腦的預設 NTP 伺服器,以確保所有系統上的記錄都有所有同步的系統時鐘。此原則要求客體設定必要條件已部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
HDInsight
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure HDInsight 叢集應該插入虛擬網路 | 在虛擬網路中插入 Azure HDInsight 叢集可解除鎖定進階 HDInsight 網路和安全性功能,並讓您控制網路安全性設定。 | 稽核、停用、拒絕 | 1.0.0 |
Azure HDInsight 叢集應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure HDInsight 叢集的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/hdi.cmk。 | Audit, Deny, Disabled | 1.0.1 |
Azure HDInsight 叢集應使用主機加密來加密待用資料 | 啟用主機上的加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 當您啟用主機上的加密時,儲存在 VM 主機上的資料會在待用時加密,並將流量加密至儲存體服務。 | Audit, Deny, Disabled | 1.0.0 |
Azure HDInsight 叢集在傳輸時應使用加密,對 Azure HDInsight 叢集節點之間的通訊進行加密 | 在 Azure HDInsight 叢集節點之間傳輸期間,資料可能會遭到竄改。 啟用傳輸中加密可解決在此傳輸期間誤用和竄改的問題。 | Audit, Deny, Disabled | 1.0.0 |
Azure HDInsight 應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure HDInsight 叢集,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/hdi.pl。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure HDInsight 叢集以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure HDInsight 叢集。 深入了解:https://aka.ms/hdi.pl。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure HDInsight 叢集 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure HDInsight 叢集,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/hdi.pl。 | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Health Bot 應該使用客戶管理的密鑰來加密待用數據 | 使用客戶自控金鑰 (CMK) 來管理 Healthbots 其餘數據的加密。 根據預設,數據會以服務管理的密鑰進行待用加密,但通常需要 CMK 才能符合法規合規性標準。 CMK 可讓您使用由您建立和擁有的 Azure 金鑰保存庫 金鑰來加密數據。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://docs.microsoft.com/azure/health-bot/cmk | Audit, Disabled | 1.0.0 |
Health Data Services 工作區
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Health Data Services 工作區應使用私人連結 | Health Data Services 工作區應該至少有一個已核准的私人端點連線。 虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。 如需詳細資訊,請瀏覽:https://aka.ms/healthcareapisprivatelink。 | Audit, Disabled | 1.0.0 |
健康照護 API
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
CORS 不應允許每個網域存取您的 FHIR 服務 | 跨原始來源資源分享 (CORS) 不應允許所有網域存取您的 FHIR 服務。 若要保護您的 FHIR 服務,請移除所有網域的存取權,並明確定義允許連線的網域。 | 稽核、稽核、停用、停用 | 1.1.0 |
DICOM 服務應使用客戶管理的金鑰來加密待用數據 | 當這是法規或合規性需求時,使用客戶管理的密鑰來控制儲存在 Azure Health Data Services DICOM 服務中其餘數據的加密。 客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Disabled | 1.0.0 |
FHIR 服務應使用客戶管理的金鑰來加密待用數據 | 當這是法規或合規性需求時,使用客戶管理的密鑰來控制儲存在 Azure Health Data Services FHIR 服務中其餘數據的加密。 客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Disabled | 1.0.0 |
物聯網
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: Azure IoT 中樞 應使用客戶管理的密鑰來加密待用數據 | 使用客戶自控密鑰加密待用數據 IoT 中樞 會新增預設服務管理密鑰上的第二層加密,讓客戶能夠控制密鑰、自定義輪替原則,以及透過密鑰訪問控制管理數據的存取權。 客戶管理的金鑰必須在建立 IoT 中樞 期間設定。 如需如何設定客戶自控金鑰的詳細資訊,請參閱 https://aka.ms/iotcmk。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽版]:IoT 中樞裝置佈建服務資料應使用客戶自控金鑰 (CMK) 進行加密 | 使用客戶自控金鑰來管理 IoT 中樞裝置佈建服務的待用加密。 會使用服務代控金鑰進行待用加密,但若要遵循法規標準,通常需要有客戶自控金鑰 (CMK)。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 在 https://aka.ms/dps/CMK 深入了解 CMK 加密。 | Audit, Deny, Disabled | 1.0.0-preview |
Azure 裝置更新帳戶應使用客戶管理的金鑰來加密待用數據 | 使用客戶自控密鑰在 Azure Device Update 中加密待用數據會新增預設服務管理密鑰上的第二層加密,可讓客戶控制密鑰、自定義輪替原則,以及透過密鑰訪問控制管理數據的存取權。 如需詳細資訊,請參閱:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption。 | Audit, Deny, Disabled | 1.0.0 |
適用於 IoT 中樞 帳戶的 Azure 裝置更新應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 IoT 中樞 帳戶的 Azure 裝置更新,數據外泄風險會降低。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure IoT 中樞 應停用服務 API 的本機驗證方法 | 停用本機驗證方法可確保 Azure IoT 中樞 完全需要 Azure Active Directory 身分識別來進行服務 Api 驗證,藉此改善安全性。 深入了解:https://aka.ms/iothubdisablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
設定 IoT 中樞 帳戶的 Azure 裝置更新,以停用公用網路存取 | 停用公用網路存取屬性可藉由確保您的裝置更新 IoT 中樞 只能從私人端點存取,以改善安全性。 此原則會針對 IoT 中樞 資源停用裝置更新上的公用網路存取。 | 修改、停用 | 1.0.0 |
為 IoT 中樞 帳戶設定 Azure 裝置更新以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域,針對私人端點使用您自己的自定義功能變數名稱來覆寫 DNS 解析。 此原則會針對 IoT 中樞 私人端點部署裝置更新的私人 DNS 區域。 | DeployIfNotExists, Disabled | 1.0.0 |
為具有私人端點的 IoT 中樞 帳戶設定 Azure 裝置更新 | 私人端點是在客戶擁有的虛擬網路內配置的私人IP位址,可透過該虛擬網路連線到 Azure 資源。 此原則會為IoT中樞的裝置更新部署私人端點,以允許虛擬網路內的服務觸達此資源,而不需要將流量傳送至裝置更新,以供IoT 中樞的公用端點使用。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure IoT 中樞 以停用本機驗證 | 停用本機驗證方法,讓您的 Azure IoT 中樞 專門要求 Azure Active Directory 身分識別進行驗證。 深入了解:https://aka.ms/iothubdisablelocalauth。 | 修改、停用 | 1.0.0 |
設定 IoT 中樞 裝置佈建實例以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 IoT 中樞 裝置布建服務實例。 深入了解:https://aka.ms/iotdpsvnet。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 IoT 中樞 裝置布建服務實例以停用公用網路存取 | 停用 IoT 中樞 裝置佈建實例的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/iotdpsvnet。 | 修改、停用 | 1.0.0 |
使用私人端點設定 IoT 中樞 裝置布建服務實例 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 IoT 中樞 裝置布建服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 設定 Azure IoT 中樞 以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域,針對私人端點使用您自己的自定義功能變數名稱來覆寫 DNS 解析。 此原則會針對 IoT 中樞 私人端點部署私人 DNS 區域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
部署 - 使用私人端點設定 Azure IoT 中樞 | 私人端點是在客戶擁有的虛擬網路內配置的私人IP位址,可透過該虛擬網路連線到 Azure 資源。 此原則會為您的IoT中樞部署私人端點,以允許虛擬網路內的服務觸達 IoT 中樞,而不需要將流量傳送至 IoT 中樞的公用端點。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 設定 IoT Central 以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域,針對私人端點使用您自己的自定義功能變數名稱來覆寫 DNS 解析。 此原則會部署IoT Central私人端點的私人 DNS 區域。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 使用私人端點設定IoT Central | 私人端點是在客戶擁有的虛擬網路內配置的私人IP位址,可透過該虛擬網路連線到 Azure 資源。 此原則會為您的IoT Central部署私人端點,以允許虛擬網路內的服務聯機到IoT Central,而不需要將流量傳送至IoT Central的公用端點。 | DeployIfNotExists, Disabled | 1.0.0 |
IoT Central 應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至IoT Central應用程式,而不是整個服務,您將降低數據外泄風險。 深入了解私人連結:https://aka.ms/iotcentral-network-security-using-pe。 | Audit, Deny, Disabled | 1.0.0 |
IoT 中樞 裝置布建服務實例應停用公用網路存取 | 停用公用網路存取可藉由確保公用因特網上不會公開 IoT 中樞 裝置布建服務實例來改善安全性。 建立私人端點可以限制 IoT 中樞 裝置布建實例的暴露。 深入了解:https://aka.ms/iotdpsvnet。 | Audit, Deny, Disabled | 1.0.0 |
IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
修改 - 設定 Azure IoT 中樞 以停用公用網路存取 | 停用公用網路存取屬性可藉由確保您的 Azure IoT 中樞 只能從私人端點存取,以改善安全性。 此原則會停用 IoT 中樞 資源的公用網路存取。 | 修改、停用 | 1.0.0 |
修改 - 設定 IoT Central 以停用公用網路存取 | 停用公用網路存取屬性可確保IoT Central只能從私人端點存取,藉此改善安全性。 此原則會停用 IoT 中樞 資源的公用網路存取。 | 修改、停用 | 1.0.0 |
應針對 IoT 中樞 啟用私人端點 | 私人端點聯機會啟用 IoT 中樞 的私人連線,以強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | Audit, Disabled | 1.0.0 |
應停用 IoT 中樞 帳戶的 Azure 裝置更新公用網路存取 | 停用公用網路存取屬性可確保您只能從私人端點存取適用於 IoT 中樞 帳戶的 Azure 裝置更新來改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
應停用 Azure IoT 中樞 上的公用網路存取 | 停用公用網路存取屬性可藉由確保您的 Azure IoT 中樞 只能從私人端點存取,藉此改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
IoT Central 應停用公用網路存取 | 若要改善IoT Central的安全性,請確定它不會公開至公用因特網,而且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/iotcentral-restrict-public-access 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 IoT 中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 3.1.0 |
金鑰保存庫
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: Azure 金鑰保存庫 受控 HSM 金鑰應該有到期日 | 若要在預覽版中使用此原則,您必須先遵循下列指示: https://aka.ms/mhsmgovernance。 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:Azure 金鑰保存庫 受控 HSM 金鑰應該超過到期前指定的天數 | 若要在預覽版中使用此原則,您必須先遵循下列指示: https://aka.ms/mhsmgovernance。 如果密鑰太接近到期,組織輪替密鑰的延遲可能會導致中斷。 金鑰應在到期前的指定天數輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:使用橢圓曲線加密的 Azure 金鑰保存庫 受控 HSM 密鑰應具有指定的曲線名稱 | 若要在預覽版中使用此原則,您必須先遵循下列指示: https://aka.ms/mhsmgovernance。 橢圓曲線密碼編譯所支援的金鑰可以有不同的曲線名稱。 某些應用程式只與特定的橢圓曲線索引鍵相容。 強制執行環境中允許建立的橢圓曲線索引鍵類型。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:使用 RSA 密碼編譯的 Azure 金鑰保存庫 受控 HSM 金鑰應具有指定的最小密鑰大小 | 若要在預覽版中使用此原則,您必須先遵循下列指示: https://aka.ms/mhsmgovernance。 設定最小允許的金鑰大小,以搭配您的金鑰保存庫使用。 使用具有小型密鑰大小的 RSA 金鑰並非安全的做法,而且不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:Azure 金鑰保存庫 受控 HSM 應停用公用網络存取 | 停用 Azure 金鑰保存庫 受控 HSM 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure 金鑰保存庫 受控 HSM 應該使用私人連結 | 私人連結可讓您將 Azure 金鑰保存庫 受控 HSM 連線到您的 Azure 資源,而不需透過公用因特網傳送流量。 私人連結提供深層防禦保護,以防止資料外流。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
[預覽]: 憑證應該由其中一個指定的非整合式證書頒發機構單位發行 | 藉由指定可在金鑰保存庫中發行憑證的自定義或內部證書頒發機構單位,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:設定 Azure 金鑰保存庫 受控 HSM 以停用公用網络存取 | 停用 Azure 金鑰保存庫 受控 HSM 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | 修改、停用 | 2.0.0-preview |
[預覽]:使用私人端點設定 Azure 金鑰保存庫 受控 HSM | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 金鑰保存庫 受控 HSM,您可以降低數據外泄風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。 | DeployIfNotExists, Disabled | 1.0.0-preview |
Azure Key Vault 受控 HSM 應啟用清除保護 | 惡意刪除 Azure 金鑰保存庫 受控 HSM 可能會導致永久數據遺失。 貴組織中的惡意內部人員可能會刪除和清除 Azure 金鑰保存庫 受控 HSM。 清除保護可藉由強制執行虛刪除的 Azure 金鑰保存庫 受控 HSM 強制保留期間,防止內部攻擊。 貴組織或 Microsoft 內的任何人都無法在虛刪除保留期間清除 Azure 金鑰保存庫 受控 HSM。 | Audit, Deny, Disabled | 1.0.0 |
Azure 金鑰保存庫 應停用公用網路存取 | 停用金鑰保存庫的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/akvprivatelink。 | Audit, Deny, Disabled | 1.1.0 |
Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Azure Key Vault 應該使用 RBAC 權限模型 | 跨 金鑰保存庫 啟用 RBAC 許可權模型。 深入了解:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
憑證應該由指定的整合式證書頒發機構單位發行 | 指定可在您的密鑰保存庫中發行憑證的 Azure 整合式證書頒發機構單位,例如 Digicert 或 GlobalSign,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應該由指定的非整合式證書頒發機構單位發行 | 藉由指定一個可在密鑰保存庫中發行憑證的自定義或內部證書頒發機構單位,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應具有指定的存留期動作觸發程式 | 藉由指定憑證存留期動作是在其存留期的特定百分比或到期前的特定天數觸發,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
憑證不應在指定的天數內過期 | 管理將在指定天數內到期的憑證,以確保貴組織有足夠的時間在到期前輪替憑證。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應使用允許的金鑰類型 | 藉由限制憑證允許的密鑰類型來管理組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用橢圓曲線密碼編譯的憑證應該具有允許的曲線名稱 | 管理金鑰保存庫中所儲存 ECC 憑證的允許橢圓曲線名稱。 如需詳細資訊,請參閱 https://aka.ms/akvpolicy。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小 | 為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小,以管理組織的合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
設定 Azure 金鑰保存庫 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為金鑰保存庫。 深入了解:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
使用私人端點設定 Azure 金鑰保存庫 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
設定金鑰保存庫以啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 接著,您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改、停用 | 1.1.1 |
部署 - 設定 Azure 金鑰保存庫 至 Log Analytics 工作區的診斷設定 | 部署 Azure 金鑰保存庫 的診斷設定,以在建立或更新遺漏此診斷設定的任何 金鑰保存庫 時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 2.0.1 |
部署 - 將診斷設定設定為在 Azure 金鑰保存庫 受控 HSM 上啟用的事件中樞 | 當建立或更新遺漏此診斷設定的任何 Azure 金鑰保存庫 受控 HSM 時,將 Azure 金鑰保存庫 受控 HSM 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 1.0.0 |
將 金鑰保存庫 診斷 設定 部署至事件中樞 | 當建立或更新遺漏此診斷設定的任何 金鑰保存庫 時,將 金鑰保存庫 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 3.0.1 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
金鑰應受到硬體安全性模組 (HSM) 的支援 | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯密鑰的實體保護層。 密碼編譯金鑰無法讓實體 HSM 提供比軟體密鑰更高的安全性層級。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應該是指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用特定密碼編譯類型所支援的金鑰。 在您的環境中強制執行特定的密碼編譯密鑰類型 RSA 或 EC。 | Audit, Deny, Disabled | 1.0.1 |
密鑰應該有輪替原則,以確保其輪替排程在建立后的指定天數內。 | 指定密鑰建立後的天數上限,以管理組織的合規性需求,直到必須輪替為止。 | Audit, Disabled | 1.0.0 |
金鑰應該超過到期前指定的天數 | 如果密鑰太接近到期,組織輪替密鑰的延遲可能會導致中斷。 金鑰應在到期前的指定天數輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
索引鍵應具有指定的有效期間上限 | 藉由指定金鑰在金鑰保存庫中有效天數內的最大時間量,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
索引鍵的使用時間不應超過指定的天數 | 指定金鑰應為使用中的天數。 長時間使用的金鑰會增加攻擊者可能危害金鑰的機率。 作為良好的安全性做法,請確定您的密鑰未使用時間超過兩年。 | Audit, Deny, Disabled | 1.0.1 |
使用橢圓曲線密碼編譯的金鑰應該具有指定的曲線名稱 | 橢圓曲線密碼編譯所支援的金鑰可以有不同的曲線名稱。 某些應用程式只與特定的橢圓曲線索引鍵相容。 強制執行環境中允許建立的橢圓曲線索引鍵類型。 | Audit, Deny, Disabled | 1.0.1 |
使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小 | 設定最小允許的金鑰大小,以搭配您的金鑰保存庫使用。 使用具有小型密鑰大小的 RSA 金鑰並非安全的做法,而且不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1 |
應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 若要在發生安全性事件或網路遭到入侵時重新建立活動線索,您可以在受控 HSM 上啟用資源記錄來進行稽核。 請遵循這裡的指示: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists, Disabled | 1.1.0 |
應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
秘密應已設定內容類型 | 內容類型標籤可協助識別秘密是否為密碼、連接字串 等。不同的秘密有不同的輪替需求。 內容類型標籤應該在秘密上設定。 | Audit, Deny, Disabled | 1.0.1 |
秘密應該超過到期前指定的天數 | 如果秘密太接近到期,則輪替秘密的組織延遲可能會導致中斷。 秘密應在到期前的指定天數輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
秘密應具有指定的有效期間上限 | 藉由指定秘密可在密鑰保存庫中有效天數內的最大時間,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
秘密的使用時間不應超過指定的天數 | 如果您的秘密是在未來設定啟用日期所建立,您必須確定您的秘密未使用中超過指定的持續時間。 | Audit, Deny, Disabled | 1.0.1 |
Kubernetes
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: [映射完整性] Kubernetes 叢集應該只使用以表示法簽署的映射 | 使用以表示法簽署的映像,以確保影像來自受信任的來源,且不會遭到惡意修改。 如需詳細資訊,請造訪 https://aka.ms/aks/image-integrity | Audit, Disabled | 1.0.0-preview |
[預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
[預覽]: 無法編輯個別節點 | 無法編輯個別節點。 用戶不應該編輯個別節點。 請編輯節點集區。 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]:設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝 適用於雲端的 Microsoft Defender 擴充功能 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | DeployIfNotExists, Disabled | 7.1.0-preview |
[預覽]:在 Azure Kubernetes Service 上部署映射完整性 | 部署映像完整性和原則附加元件 Azure Kubernetes 叢集。 如需詳細資訊,請造訪 https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-preview |
[預覽]: Kubernetes 叢集容器應該只在映射提取秘密存在時提取映射 | 限制容器的映像提取,以強制執行 ImagePullSecrets 的存在,確保 Kubernetes 叢集中映射的安全和授權存取 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]: Kubernetes 叢集服務應該使用唯一選取器 | 請確定命名空間中的服務具有唯一的選取器。 此原則依賴 Gatekeeper 數據復寫,並將所有輸入資源同步處理到 OPA。 套用此原則之前,請確認同步輸入資源不會超過您的記憶體容量。 原則參數會套用至特定命名空間,但它會跨所有命名空間同步處理該類型的所有資源。 此原則目前為 Kubernetes Service 預覽版 (AKS) | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]: Kubernetes 叢集應該實作精確的 Pod 中斷預算 | 防止客戶套用不正確的 Pod 中斷預算。 此原則依賴 Gatekeeper 數據復寫,而此原則範圍內的所有輸入資源都會同步處理到 OPA。 在指派此原則之前,請確認同步處理的輸入資源不會讓記憶體容量不堪重負。 原則參數只會評估特定命名空間,但所有命名空間中該類型的所有資源都會同步處理。 此原則為 Kubernetes Service (AKS) 的預覽版。 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]: Kubernetes 叢集應該限制建立指定的資源類型 | 指定的 Kubernetes 資源類型不應部署在特定命名空間中。 | Audit, Deny, Disabled | 2.2.0-preview |
[預覽]: 必須設定反親和性規則 | 需要設定親和性規則。 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]: 沒有 AKS 特定標籤 | 防止客戶套用 AKS 特定標籤 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]: 保留的系統集區污點 | 將 CriticalAddonsOnly 污點限製為僅系統集區 | Audit, Deny, Disabled | 1.1.0-preview |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Open Service Mesh 擴充功能 | Open Service Mesh 延伸模組提供所有標準服務網格功能,以取得應用程式服務的安全性、流量管理和可檢視性。 在這裡深入瞭解: https://aka.ms/arc-osm-doc | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Strimzi Kafka 擴充功能 | Strimzi Kafka 延伸模組提供操作員來安裝 Kafka,以建置即時資料管線,以及具有安全性與可觀察性功能的串流應用程式。 在這裡深入瞭解: https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Kubernetes 叢集應啟用容器 儲存體 接口(CSI) | 容器 儲存體 介面 (CSI) 是將任意區塊和檔案記憶體系統公開至 Azure Kubernetes Service 上容器化工作負載的標準。 若要深入瞭解, https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
Azure Kubernetes 叢集應啟用 金鑰管理服務 (KMS) | 使用 金鑰管理服務 (KMS) 將待用秘密數據加密為 Kubernetes 叢集安全性的 etcd。 深入了解:https://aka.ms/aks/kmsetcdencryption。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes 叢集應該使用 Azure CNI | Azure CNI 是某些 Azure Kubernetes Service 功能的必要條件,包括 Azure 網路原則、Windows 節點集區和虛擬節點附加元件。 深入了解:https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
Azure Kubernetes Service 叢集應該停用命令叫用 | 停用命令叫用可以避免略過受限制的網路存取或 Kubernetes 角色型訪問控制來增強安全性 | Audit, Disabled | 1.0.1 |
Azure Kubernetes Service 叢集應該啟用叢集自動升級 | AKS 叢集自動升級可以確保您的叢集是最新的,而且不會錯過 AKS 和上游 Kubernetes 的最新功能或修補程式。 深入了解:https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應該啟用映像清除器 | 影像清除程式會執行自動易受攻擊、未使用的影像識別和移除,以降低過時影像的風險,並減少清除影像所需的時間。 深入了解:https://aka.ms/aks/image-cleaner。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應該啟用 Microsoft Entra ID 整合 | AKS 管理的 Microsoft Entra ID 整合可以藉由根據使用者的身分識別或目錄群組成員資格來設定 Kubernetes 角色型訪問控制 (Kubernetes RBAC)來管理叢集的存取權。 深入了解:https://aka.ms/aks-managed-aad。 | Audit, Disabled | 1.0.2 |
Azure Kubernetes Service 叢集應該啟用節點 os 自動升級 | AKS 節點 OS 自動升級控制節點層級 OS 安全性更新。 深入了解:https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應啟用工作負載身分識別 | 工作負載身分識別可讓您將唯一的身分識別指派給每個 Kubernetes Pod,並將它與 Azure AD 保護的資源產生關聯,例如 Azure 金鑰保存庫,讓您可以從 Pod 內安全地存取這些資源。 深入了解:https://aka.ms/aks/wi。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 適用於容器的 Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender | Audit, Disabled | 2.0.1 |
Azure Kubernetes Service 叢集應停用本機驗證方法 | 停用本機驗證方法可藉由確保 Azure Kubernetes Service 叢集應獨佔要求 Azure Active Directory 身分識別進行驗證,來改善安全性。 深入了解:https://aka.ms/aks-disable-local-accounts。 | Audit, Deny, Disabled | 1.0.1 |
Azure Kubernetes Service 叢集應該使用受控識別 | 使用受控識別來包裝服務主體、簡化叢集管理,並避免受控服務主體所需的複雜度。 深入了解:https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
應啟用 Azure Kubernetes Service 私人叢集 | 啟用 Azure Kubernetes Service 叢集的私人叢集功能,以確保 API 伺服器與節點集區之間的網路流量只會保留在專用網上。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝 Azure 原則 擴充功能 | 部署 azure Arc 的 Azure 原則 擴充功能,以集中且一致的方式大規模強制執行 Arc,並保護您的已啟用 Arc 的 Kubernetes 叢集。 請至https://aka.ms/akspolicydoc,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure Kubernetes Service 叢集以啟用 Defender 配置檔 | 適用於容器的 Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 當您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.Defender 時,代理程式會部署到叢集以收集安全性事件數據。 深入瞭解適用於容器的 Microsoft Defender: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists, Disabled | 4.1.0 |
在 Kubernetes 叢集上設定 Flux 擴充功能的安裝 | 在 Kubernetes 叢集上安裝 Flux 擴充功能,以在叢集中啟用「fluxconfigurations」的部署 | DeployIfNotExists, Disabled | 1.0.0 |
使用 KeyVault 中的貯體來源和秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的貯體取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 Bucket SecretKey。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和 HTTPS CA 憑證設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要 HTTPS CA 憑證。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.1 |
使用 Git 存放庫和 HTTPS 秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 HTTPS 金鑰秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和本機秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 Kubernetes 叢集中的本機驗證秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和 SSH 秘密設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 SSH 私鑰秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用公用 Git 存放庫設定 Flux v2 設定 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義不需要秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用本機秘密設定具有指定 Flux v2 Bucket 來源的 Kubernetes 叢集 | 將 『fluxConfiguration』 部署至 Kubernetes 叢集,以確保叢集會從定義的貯體取得工作負載和組態的真相來源。 此定義需要儲存在 Kubernetes 叢集中的本機驗證秘密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 HTTPS 秘密以指定的 GitOps 組態設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要儲存在 金鑰保存庫 中的 HTTPS 使用者和金鑰秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用沒有秘密的指定 GitOps 設定來設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義不需要秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用 SSH 秘密以指定的 GitOps 組態設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署至 Kubernetes 叢集,以確保叢集會從定義的 Git 存放庫取得工作負載和組態的真相來源。 此定義需要 金鑰保存庫 中的 SSH 私鑰秘密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用必要的 管理員 群組存取設定 Microsoft Entra ID 整合式 Azure Kubernetes Service 叢集 | 透過集中控管 管理員 Microsoft Entra ID 整合 AKS 叢集的存取權,確保改善叢集安全性。 | DeployIfNotExists, Disabled | 2.0.4 |
在 Azure Kubernetes 叢集上設定節點 OS 自動升級 | 使用節點 OS 自動升級來控制 Azure Kubernetes Service (AKS) 叢集的節點層級 OS 安全性更新。 如需詳細資訊,請瀏覽 https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。 | DeployIfNotExists, Disabled | 1.0.1 |
部署 - 設定 Azure Kubernetes Service 至 Log Analytics 工作區的診斷設定 | 部署 Azure Kubernetes Service 的診斷設定,以將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 3.0.0 |
將 Azure 原則 附加元件部署至 Azure Kubernetes Service 叢集 | 使用 Azure 原則 附加元件來管理和報告 Azure Kubernetes Service (AKS) 叢集的合規性狀態。 如需詳細資訊,請參閱https://aka.ms/akspolicydoc。 | DeployIfNotExists, Disabled | 4.0.1 |
在 Azure Kubernetes Service 上部署映像清除器 | 在 Azure Kubernetes 叢集上部署映像清除器。 如需詳細資訊,請造訪 https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
部署計劃性維護以排程和控制 Azure Kubernetes Service (AKS) 叢集的升級 | 計劃性維護可讓您排程每周維護時段來執行更新,並將工作負載影響降到最低。 排程之後,只會在您選取的窗口期間進行升級。 深入了解:https://aka.ms/aks/planned-maintenance | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
在 Azure Kubernetes Service 叢集上停用命令叫用 | 停用命令叫用可藉由拒絕對叢集的 invoke-command 存取來增強安全性 | DeployIfNotExists, Disabled | 1.2.0 |
確定叢集容器已設定整備或活躍度探查 | 此原則會強制所有 Pod 都已設定整備和/或活躍度探查。 探查類型可以是任何 tcpSocket、HTTPGet 和 exec。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需使用此原則的指示,請流覽 https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.2.0 |
容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集容器不應該使用禁止的 sysctl 介面 | 容器不應在 Kubernetes 叢集中使用禁止的 sysctl 介面。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集容器應該只使用允許的 ProcMountType | Pod 容器只能在 Kubernetes 叢集中使用允許的 ProcMountTypes。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.1 |
Kubernetes 叢集容器應該只使用允許的提取原則 | 限制容器的提取原則,強制容器只在部署上使用允許的映像 | Audit, Deny, Disabled | 3.1.0 |
Kubernetes 叢集容器應該只使用允許的 seccomp 配置檔 | Pod 容器只能在 Kubernetes 叢集中使用允許的 seccomp 配置檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集 Pod FlexVolume 磁碟區應該只使用允許的驅動程式 | Pod FlexVolume 磁碟區應該只在 Kubernetes 叢集中使用允許的驅動程式。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.1 |
Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
Kubernetes 叢集 Pod 和容器應該只使用允許的 SELinux 選項 | Pod 和容器應該只在 Kubernetes 叢集中使用允許的 SELinux 選項。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
Kubernetes 叢集 Pod 應該只使用允許的磁碟區類型 | Pod 只能在 Kubernetes 叢集中使用允許的磁碟區類型。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.1 |
Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
Kubernetes 叢集 Pod 應該使用指定的標籤 | 使用指定的標籤來識別 Kubernetes 叢集中的 Pod。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
Kubernetes 叢集服務只可使用允許的外部 IP | 使用允許的外部IP來避免 Kubernetes 叢集中的潛在攻擊 (CVE-2020-8554)。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.1.0 |
Kubernetes 叢集不應該使用裸體 Pod | 封鎖裸體 Pod 的使用。 當節點失敗時,不會重新排程裸體 Pod。 Pod 應該由 Deployment、Replicset、Daemonset 或 Jobs 管理 | Audit, Deny, Disabled | 2.1.0 |
Kubernetes 叢集 Windows 容器不應過度認可 CPU 和記憶體 | Windows 容器資源要求應小於或等於資源限制或未指定,以避免過度認可。 如果 Windows 記憶體過度布建,它會處理磁碟上的頁面,這可能會降低效能,而不是終止記憶體不足的容器 | Audit, Deny, Disabled | 2.1.0 |
Kubernetes 叢集 Windows 容器不應以 Container 身分執行 管理員 istrator | 防止使用 Container 管理員 istrator 作為用戶來執行 Windows Pod 或容器的容器進程。 此建議旨在改善 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | Audit, Deny, Disabled | 1.1.0 |
Kubernetes 叢集 Windows 容器只應以已核准的使用者和網域使用者群組執行 | 控制 Windows Pod 和容器可用來在 Kubernetes 叢集中執行的使用者。 這項建議是 Windows 節點上 Pod 安全策略的一部分,旨在改善 Kubernetes 環境的安全性。 | Audit, Deny, Disabled | 2.1.0 |
Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.1.0 |
Kubernetes 叢集應該確保只有在需要時才使用叢集管理員角色 | 角色 「cluster-admin」提供廣泛的環境權力,而且只應在需要的位置和時機使用。 | Audit, Disabled | 1.0.0 |
Kubernetes 叢集應將角色和叢集角色中的通配符使用降到最低 | 使用通配符 『*』 可能是安全性風險,因為它授與特定角色可能不需要的廣泛許可權。 如果角色具有太多許可權,攻擊者可能會濫用或遭入侵的使用者,以取得叢集中資源的未經授權存取權。 | Audit, Disabled | 1.0.0 |
Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
Kubernetes 叢集不應允許 ClusterRole/system:aggregate-to-edit 的端點編輯許可權 | ClusterRole/system:aggregate-to-edit 不應允許端點編輯許可權,因為 CVE-2021-25740、Endpoint 和 EndpointSlice 許可權允許跨命名空間轉送。 https://github.com/kubernetes/kubernetes/issues/103675 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Disabled | 3.1.0 |
Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應該使用特定的安全性功能 | 防止 Kubernetes 叢集中的特定安全性功能,以防止 Pod 資源上的未授與許可權。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.1.0 |
Kubernetes 叢集應該使用 Container 儲存體 Interface(CSI) 驅動程式 儲存體 Class | 容器儲存體介面 (CSI) 是一種標準,可對 Kubernetes 上的容器化工作負載公開任意區塊及檔案儲存體系統。 因為 AKS 1.21 版,樹狀結構內布建器 儲存體 Class 應該已被取代。 若要深入瞭解, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
Kubernetes 叢集應該使用內部負載平衡器 | 使用內部負載平衡器讓 Kubernetes 服務只能供與 Kubernetes 叢集在相同虛擬網路中執行的應用程式存取。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
Kubernetes 資源應具有必要的批注 | 請確定指定的 Kubernetes 資源種類上附加必要的批注,以改善 Kubernetes 資源的資源管理。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.1.0 |
應啟用 Azure Kubernetes Service 中的資源記錄 | Azure Kubernetes Service 的資源記錄有助於在調查安全性事件時重新建立活動線索。 將其啟用以確定記錄會在需要時存在 | AuditIfNotExists, Disabled | 1.0.0 |
在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 為了增強資料安全性,儲存在 Azure Kubernetes Service 節點 VM 的虛擬機器 (VM) 主機上的資料,應該進行待用加密。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
實驗室服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實驗室服務應啟用自動關機的所有選項 | 此原則會強制執行實驗室的所有自動關機選項,藉此協助進行成本管理。 | Audit, Deny, Disabled | 1.1.0 |
實驗室服務不應允許實驗室的範本虛擬機 | 此原則可防止針對透過實驗室服務管理的實驗室建立和自定義範本虛擬機。 | Audit, Deny, Disabled | 1.1.0 |
實驗室服務應該需要實驗室的非系統管理員使用者 | 此原則需要為透過實驗室服務管理的實驗室建立非系統管理員用戶帳戶。 | Audit, Deny, Disabled | 1.1.0 |
實驗室服務應限制允許的虛擬機 SKU 大小 | 此原則可讓您限制透過實驗室服務管理的實驗室特定計算 VM SKU。 這會限制特定的虛擬機大小。 | Audit, Deny, Disabled | 1.1.0 |
Lighthouse
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許管理租用戶標識碼以透過 Azure Lighthouse 上線 | 將 Azure Lighthouse 委派限制為特定的管理租用戶,藉由限制可管理 Azure 資源的人員來增加安全性。 | 拒絕 | 1.0.1 |
稽核將範圍委派給管理租使用者 | 透過 Azure Lighthouse 稽核管理租用戶的範圍委派。 | Audit, Disabled | 1.0.0 |
Logic Apps
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Logic Apps 整合服務環境應使用客戶自控金鑰進行加密 | 部署至整合服務環境,以使用客戶自控金鑰來管理 Logic Apps 資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | Audit, Deny, Disabled | 1.0.0 |
Logic Apps 應該部署至 Integration Service 環境 | 將 Logic Apps 部署至虛擬網路中的 Integration Service 環境,可解除鎖定進階 Logic Apps 網路和安全性功能,並讓您更充分掌控網路設定。 深入了解:https://aka.ms/integration-service-environment。 部署到 Integration Service 環境也可讓您使用客戶管理的金鑰進行加密,其可讓您管理加密金鑰,以提供增強的數據保護。 這通常符合合規性需求。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure 機器學習 模型登錄部署受限,但允許的登錄除外 | 只在允許的登錄中部署登錄模型,且不受限制。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
Azure 機器學習 計算實例應該有閑置關機。 | 閑置關機排程可藉由關閉在預先決定的活動期間之後閑置的計算來降低成本。 | Audit, Deny, Disabled | 1.0.0 |
應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
Azure Machine Learning Compute 應位於虛擬網路中 | Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 | Audit, Disabled | 1.0.1 |
Azure Machine Learning Compute 應已停用本機驗證方法 | 停用本機驗證方法,藉由確保 Machine Learning Compute 要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy。 | Audit, Deny, Disabled | 2.0.1 |
應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.0.3 |
Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit, Deny, Disabled | 2.0.1 |
Azure 機器學習 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性 | Azure ML 正在轉換至 Azure Resource Manager 上的新 V2 API 平臺,而且您可以使用 V1LegacyMode 參數控制 API 平臺版本。 啟用 V1LegacyMode 參數可讓您讓工作區保持與 V1 相同的網路隔離,不過您不會使用新的 V2 功能。 只有在您想要將 AzureML 控制平面數據保留在專用網內時,才建議開啟 V1 舊版模式。 深入了解:https://aka.ms/V1LegacyMode。 | Audit, Deny, Disabled | 1.0.0 |
Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
Azure 機器學習 工作區應使用使用者指派的受控識別 | 使用使用者指派的受控識別,管理 Azure ML 工作區和相關聯的資源、Azure Container Registry、KeyVault、儲存體 和 App Insights。 根據預設,Azure ML 工作區會使用系統指派的受控識別來存取相關聯的資源。 使用者指派的受控識別可讓您建立身分識別作為 Azure 資源,並維護該身分識別的生命週期。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure 機器學習 Computes 以停用本機驗證方法 | 停用位置驗證方法,讓您的 機器學習 計算需要專用的 Azure Active Directory 身分識別來進行驗證。 深入了解:https://aka.ms/azure-ml-aad-policy。 | 修改、停用 | 2.0.1 |
設定 Azure 機器學習 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至 Azure 機器學習 工作區。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure 機器學習 工作區以停用公用網路存取 | 停用 Azure 機器學習 工作區的公用網路存取,讓您的工作區無法透過公用因特網存取。 這有助於保護工作區免於數據外泄風險。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改、停用 | 1.0.3 |
使用私人端點設定 Azure 機器學習 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 機器學習 工作區,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Azure 機器學習 工作區的診斷設定設定設定為 Log Analytics 工作區 | 部署 Azure 機器學習 工作區的診斷設定,以在建立或更新遺漏此診斷設定的任何 Azure 機器學習 Workspace 時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.1 |
應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
受控應用程式
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
受控應用程式的應用程式定義應該使用客戶提供的記憶體帳戶 | 當這是法規或合規性需求時,請使用您自己的記憶體帳戶來控制應用程式定義數據。 您可以選擇將受控應用程式定義儲存在建立期間所提供的記憶體帳戶內,讓其位置和存取權完全由您管理,以符合法規合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
部署受控應用程式的關聯 | 部署關聯資源,將選取的資源類型與指定的受控應用程式產生關聯。 此原則部署不支援巢狀資源類型。 | deployIfNotExists | 1.0.0 |
受控 Grafana
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 受控 Grafana 應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至Managed Grafana,您可以降低數據外泄風險。 | Audit, Disabled | 1.0.0 |
Azure 受控 Grafana 工作區應停用公用網路存取 | 停用公用網路存取可藉由確保您的 Azure 受控 Grafana 工作區不會公開在公用因特網上來改善安全性。 建立私人端點可以限制工作區的曝光。 | Audit, Deny, Disabled | 1.0.0 |
使用私人端點設定 Azure 受控 Grafana 儀錶板 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Managed Grafana,您可以降低數據外泄風險。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 受控 Grafana 工作區以停用公用網路存取 | 停用 Azure 受控 Grafana 工作區的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 | 修改、停用 | 1.0.0 |
設定 Azure 受控 Grafana 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure 受控 Grafana 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
受控識別
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:來自 Azure Kubernetes 的受控識別同盟認證應來自受信任的來源 | 此原則會將 Azure Kubernetes 叢集的 Federeation 限制為僅限來自已核准租使用者、核准區域的叢集,以及其他叢集的特定例外狀況清單。 | 稽核、停用、拒絕 | 1.0.0-preview |
[預覽]:來自 GitHub 的受控識別同盟認證應該來自受信任的存放庫擁有者 | 此原則會將與 GitHub 存放庫的同盟限制為僅限已核准的存放庫擁有者。 | 稽核、停用、拒絕 | 1.0.1-preview |
[預覽]:受控識別同盟認證應來自允許的簽發者類型 | 此原則會限制受控識別是否可以使用允許通用簽發者類型的同盟認證,並提供允許的簽發者例外狀況清單。 | 稽核、停用、拒絕 | 1.0.0-preview |
[預覽]:將內建使用者指派的受控識別指派給 虛擬機器擴展集 | 建立並指派內建使用者指派的受控識別,或大規模指派預先建立的使用者指派受控識別給虛擬機擴展集。 如需更詳細的檔,請流覽 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.6-preview |
[預覽]:將內建使用者指派的受控識別指派給 虛擬機器 | 建立並指派內建使用者指派的受控識別,或大規模指派預先建立的使用者指派受控識別給虛擬機。 如需更詳細的檔,請流覽 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.6-preview |
地圖
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
CORS 不應允許每個資源存取您的對應帳戶。 | 跨原始來源資源分享 (CORS) 不應允許所有網域存取您的對應帳戶。 只允許必要的網域與您的對應帳戶互動。 | 已停用、稽核、拒絕 | 1.0.0 |
媒體服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 媒體服務 帳戶應停用公用網路存取 | 停用公用網路存取可藉由確保公用因特網上不會公開 媒體服務 資源來改善安全性。 建立私人端點可能會限制 媒體服務 資源的公開。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs。 | Audit, Deny, Disabled | 1.0.0 |
Azure 媒體服務 帳戶應該使用支援 Private Link 的 API | 媒體服務 帳戶應該使用支援私人連結的 API 來建立。 | Audit, Deny, Disabled | 1.0.0 |
應封鎖允許存取舊版 v2 API 的帳戶 Azure 媒體服務 | 媒體服務 舊版 v2 API 允許使用 Azure 原則 管理的要求。 媒體服務 使用 2020-05-01 API 建立的資源,或更新版本會封鎖對舊版 v2 API 的存取。 | Audit, Deny, Disabled | 1.0.0 |
Azure 媒體服務 內容密鑰原則應使用令牌驗證 | 內容金鑰原則會定義必須符合才能存取內容密鑰的條件。 令牌限制可確保只有來自驗證服務的有效令牌的使用者才能存取內容密鑰,例如 Microsoft Entra ID。 | Audit, Deny, Disabled | 1.0.1 |
使用 HTTPS 輸入的 Azure 媒體服務 作業應將輸入 URI 限制為允許的 URI 模式 | 將 媒體服務作業所使用的 HTTPS 輸入限制為已知端點。 您可以藉由設定允許的作業輸入模式空白清單,完全停用來自 HTTPS 端點的輸入。 當作業輸入指定 『baseUri』 時,模式將會比對此值;未設定 'baseUri' 時,模式會與 'files' 屬性相符。 | 稽核, 拒絕, 停用 | 1.0.1 |
Azure 媒體服務 應使用客戶管理的密鑰來加密待用數據 | 使用客戶管理的金鑰來管理您 媒體服務 帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/mediaservicescmkdocs。 | Audit, Deny, Disabled | 1.0.0 |
Azure 媒體服務 應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 媒體服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure 媒體服務 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 媒體服務 帳戶。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 媒體服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 媒體服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
移轉
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定 Azure Migrate 資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至您的 Azure Migrate 專案。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
行動網路
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定封包核心控制平面診斷存取,以使用驗證類型 Microsoft EntraID | Authenticaton 類型必須是 Microsoft EntraID,才能透過本機 API 進行封包核心診斷存取 | 修改、停用 | 1.0.0 |
封包核心控制平面診斷存取應該只使用 Microsoft EntraID 驗證類型 | Authenticaton 類型必須是 Microsoft EntraID,才能透過本機 API 進行封包核心診斷存取 | Audit, Deny, Disabled | 1.0.0 |
SIM 群組應使用客戶管理的金鑰來加密待用數據 | 使用客戶管理的金鑰來管理 SIM 群組中 SIM 秘密的其餘部分加密。 客戶管理的金鑰通常必須符合法規合規性標準,且可讓數據以您建立和擁有的 Azure 金鑰保存庫 金鑰加密。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | Audit, Deny, Disabled | 1.0.0 |
監視
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:使用聯機至預設 Log Analytics 工作區的 Log Analytics 代理程式設定已啟用 Azure Arc 的 Linux 機器 | 藉由安裝將數據傳送至 適用於雲端的 Microsoft Defender 所建立的預設Log Analytics工作區的Log Analytics代理程式,以 適用於雲端的 Microsoft Defender 功能保護您的已啟用 Azure Arc 的 Linux 機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:使用聯機至預設 Log Analytics 工作區的 Log Analytics 代理程式設定已啟用 Azure Arc 的 Windows 機器 | 安裝將數據傳送至 適用於雲端的 Microsoft Defender 所建立的預設Log Analytics工作區的Log Analytics代理程式,以 適用於雲端的 Microsoft Defender功能保護您的已啟用 Azure Arc 的 Windows 機器。 | DeployIfNotExists, Disabled | 1.1.0-preview |
[預覽]:設定系統指派的受控識別,以在 VM 上啟用 Azure 監視器指派 | 將系統指派的受控識別設定為 Azure 中裝載的虛擬機,這些虛擬機由 Azure 監視器支援,而且沒有系統指派的受控識別。 系統指派的受控識別是所有 Azure 監視器指派的必要條件,而且在使用任何 Azure 監視器擴充功能之前,必須先新增至機器。 目標虛擬機必須位於支援的位置。 | 修改、停用 | 6.0.0-preview |
[預覽]:應針對列出的虛擬機映射啟用Log Analytics擴充功能 | 如果虛擬機映像不在定義的清單中,且未安裝擴充功能,則會將虛擬機報告為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
[預覽]:Linux Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Linux Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
[預覽]:Windows Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Windows Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
[預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
[預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
活動記錄至少應保留一年 | 如果保留期未設定為 365 天或永遠(保留天數設定為 0),此原則會稽核活動記錄檔。 | AuditIfNotExists, Disabled | 1.0.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定 管理員 作業。 | AuditIfNotExists, Disabled | 1.0.0 |
特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
Application Insights 元件應該封鎖來自公用網路的記錄擷取和查詢 | 封鎖來自公用網路的記錄擷取和查詢,以改善ApplicationInsights安全性。 只有私人連結連線的網路才能擷取和查詢此元件的記錄。 深入了解:https://aka.ms/AzMonPrivateLink#configure-application-insights。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Application Insights 元件應該封鎖非 Azure Active Directory 型擷取。 | 強制執行記錄擷取以要求 Azure Active Directory 驗證可防止攻擊者未經驗證的記錄,而攻擊者可能會導致不正確的狀態、錯誤警示,以及儲存在系統中的不正確記錄。 | 拒絕、稽核、已停用 | 1.0.0 |
已啟用 Private Link 的 Application Insights 元件應該針對分析工具和調試程式使用「攜帶您自己的」儲存體 帳戶。 | 若要支援私人連結和客戶管理的密鑰原則,請為分析工具和調試程式建立您自己的記憶體帳戶。 深入瞭解 https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | 拒絕、稽核、已停用 | 1.0.0 |
稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 請務必只選取支持診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
Azure 應用程式閘道 應啟用資源記錄 | 啟用 Azure 應用程式閘道 的資源記錄(加上 WAF)和串流至 Log Analytics 工作區。 深入了解輸入 Web 流量,以及降低攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Front Door 應該已啟用資源記錄 | 啟用 Azure Front Door 的資源記錄(加上 WAF),並串流至 Log Analytics 工作區。 深入了解輸入 Web 流量,以及降低攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Front Door Standard 或 進階版 (Plus WAF) 應啟用資源記錄 | 啟用 Azure Front Door Standard 或 進階版 的資源記錄(加上 WAF),並串流至 Log Analytics 工作區。 深入了解輸入 Web 流量,以及降低攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
透過Log Analytics工作區的 Azure 記錄搜尋警示應使用客戶管理的密鑰 | 請確定 Azure 記錄搜尋警示會實作客戶管理的金鑰,方法是使用客戶為查詢 Log Analytics 工作區提供的記憶體帳戶來儲存查詢文字。 如需詳細資訊,請瀏覽 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 稽核、停用、拒絕 | 1.0.0 |
Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集 「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 監視器記錄叢集應在啟用基礎結構加密的情況下建立 (雙重加密) | 為了確保使用兩個不同的加密演算法和兩個不同的金鑰,在服務層級和基礎結構層級啟用安全資料加密,請使用 Azure 監視器專用叢集。 在區域支援時,預設會啟用此選項,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure 監視器記錄叢集應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰加密建立 Azure 監視器記錄叢集。 依預設,記錄資料會使用服務代控金鑰進行加密,但若要遵循法規,通常需要有客戶自控金鑰。 Azure 監視器中的客戶自控金鑰可讓您更充分掌控資料的存取權,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
適用於 Application Insights 的 Azure 監視器記錄應該連結至 Log Analytics 工作區 | 將 Application Insights 元件連結至 Log Analytics 工作區以進行記錄加密。 客戶管理的密鑰通常需要符合法規合規性,並進一步控制 Azure 監視器中數據的存取權。 將您的元件連結至使用客戶管理密鑰啟用的 Log Analytics 工作區,以確保 Application Insights 記錄符合此合規性需求,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure 監視器 Private Link 範圍應封鎖非私人鏈接資源的存取 | Azure Private Link 可讓您透過私人端點將虛擬網路連線到 Azure 資源,以連線到 Azure 監視器 Private Link 範圍 (AMPLS)。 私人連結存取模式會在您的 AMPLS 上設定,以控制從您的網路擷取和查詢要求是否可觸達所有資源,或只有 Private Link 資源(以防止數據外流)。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open。 | Audit, Deny, Disabled | 1.0.0 |
Azure 監視器 Private Link 範圍應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure 監視器私人連結範圍,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不會從包括全域在內的所有 Azure 支援 區域匯出活動的 Azure 監視器記錄配置檔。 | AuditIfNotExists, Disabled | 2.0.0 |
必須部署 Azure 監視器解決方案「安全性與稽核」 | 此原則可確保已部署安全性和稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保是否已啟用記錄配置檔以匯出活動記錄。 它會稽核是否有建立記錄配置檔,以將記錄導出至記憶體帳戶或事件中樞。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure 活動記錄以串流至指定的 Log Analytics 工作區 | 部署 Azure 活動的診斷設定,以將訂用帳戶稽核記錄串流至 Log Analytics 工作區,以監視訂用帳戶層級事件 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 應用程式 Insights 元件以停用公用網路存取以進行記錄擷取和查詢 | 停用來自公用網路存取的元件記錄擷取和查詢,以改善安全性。 只有私人連結連線的網路才能在此工作區上內嵌和查詢記錄。 深入了解:https://aka.ms/AzMonPrivateLink#configure-application-insights。 | 修改、停用 | 1.1.0 |
設定 Azure Log Analytics 工作區以停用公用網路存取以進行記錄擷取和查詢 | 封鎖來自公用網路的記錄擷取和查詢,以改善工作區安全性。 只有私人連結連線的網路才能在此工作區上內嵌和查詢記錄。 深入了解:https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | 修改、停用 | 1.1.0 |
設定 Azure 監視器 Private Link 範圍以封鎖非私人鏈接資源的存取 | Azure Private Link 可讓您透過私人端點將虛擬網路連線到 Azure 資源,以連線到 Azure 監視器 Private Link 範圍 (AMPLS)。 私人連結存取模式會在您的 AMPLS 上設定,以控制從您的網路擷取和查詢要求是否可觸達所有資源,或只有 Private Link 資源(以防止數據外流)。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open。 | 修改、停用 | 1.0.0 |
設定 Azure 監視器 Private Link 範圍以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure 監視器私人連結範圍。 深入了解:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 監視器 Private Link 範圍 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 監視器 Private Link 範圍,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security。 | DeployIfNotExists, Disabled | 1.0.0 |
在已啟用 Azure Arc 的 Linux 伺服器上設定相依性代理程式 | 藉由安裝相依性代理程式虛擬機擴充功能,在透過已啟用Arc的伺服器和機器上啟用VM深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.0.0 |
使用 Azure 監視代理程式設定在已啟用 Azure Arc 的 Linux 伺服器上設定相依性代理程式 | 使用 Azure 監視代理程式設定安裝相依性代理程式虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.1.2 |
在已啟用 Azure Arc 的 Windows 伺服器上設定相依性代理程式 | 藉由安裝相依性代理程式虛擬機擴充功能,在透過已啟用Arc的伺服器和機器上啟用VM深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.0.0 |
使用 Azure 監視代理程式設定在已啟用 Azure Arc 的 Windows 伺服器上設定相依性代理程式 | 使用 Azure 監視代理程式設定安裝相依性代理程式虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.1.2 |
將 Linux Arc 機器設定為與資料收集規則或數據收集端點相關聯 | 部署關聯,將 Linux Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 2.1.0 |
設定已啟用Linux Arc的機器以執行 Azure 監視器代理程式 | 自動化在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援區域,此原則將會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.3.0 |
設定 Linux 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,將 Linux 虛擬機、虛擬機擴展集和 Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 6.1.0 |
將 Linux 虛擬機器擴展集 設定為與資料收集規則或資料收集端點相關聯 | 部署關聯,將 Linux 虛擬機擴展集連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 4.1.0 |
設定 Linux 虛擬機擴展集,以使用系統指派的受控識別型驗證來執行 Azure 監視器代理程式 | 在 Linux 虛擬機擴展集上自動部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.4.0 |
設定 Linux 虛擬機擴展集,以使用使用者指派的受控識別型驗證來執行 Azure 監視器代理程式 | 在 Linux 虛擬機擴展集上自動部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.5.0 |
將 Linux 虛擬機器 設定為與資料收集規則或資料收集端點相關聯 | 部署關聯,將 Linux 虛擬機連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 4.1.0 |
設定 Linux 虛擬機以使用系統指派的受控識別型驗證來執行 Azure 監視器代理程式 | 在Linux虛擬機上自動部署 Azure 監視器代理程式擴充功能,以從客體OS收集遙測數據。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.4.0 |
設定 Linux 虛擬機以使用使用者指派的受控識別型驗證來執行 Azure 監視器代理程式 | 在Linux虛擬機上自動部署 Azure 監視器代理程式擴充功能,以從客體OS收集遙測數據。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.5.0 |
在已啟用 Azure Arc 的 Linux 伺服器上設定 Log Analytics 擴充功能。 請參閱下方的淘汰通知 | 藉由安裝 Log Analytics 虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能數據,並提供其效能的深入解析。 檢視更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」 | DeployIfNotExists, Disabled | 2.1.1 |
在已啟用 Azure Arc 的 Windows 伺服器上設定 Log Analytics 擴充功能 | 藉由安裝 Log Analytics 虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能數據,並提供其效能的深入解析。 檢視更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 2.1.1 |
設定Log Analytics工作區和自動化帳戶以集中處理記錄和監視 | 部署包含 Log Analytics 工作區和連結自動化帳戶的資源群組,以集中處理記錄和監視。 自動化帳戶適用於解決方案的 aprerequisite,例如 更新 和 變更追蹤。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
將 Windows Arc 機器設定為與數據收集規則或數據收集端點相關聯 | 部署關聯,將 Windows Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 2.1.0 |
設定已啟用 Windows Arc 的機器以執行 Azure 監視器代理程式 | 自動化在已啟用 Windows Arc 的機器上部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.3.0 |
設定 Windows 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,將 Windows 虛擬機、虛擬機擴展集和 Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 4.2.0 |
將 Windows 虛擬機器擴展集 設定為與資料收集規則或數據收集端點相關聯 | 部署關聯,將 Windows 虛擬機擴展集連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 3.2.0 |
設定 Windows 虛擬機擴展集,以使用系統指派的受控識別來執行 Azure 監視器代理程式 | 在 Windows 虛擬機擴展集上自動部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.3.0 |
設定 Windows 虛擬機擴展集,以使用使用者指派的受控識別型驗證來執行 Azure 監視器代理程式 | 在 Windows 虛擬機擴展集上自動部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0 |
將 Windows 虛擬機器 設定為與資料收集規則或數據收集端點相關聯 | 部署關聯,將 Windows 虛擬機連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 3.2.0 |
設定 Windows 虛擬機以使用系統指派的受控識別來執行 Azure 監視器代理程式 | 在 Windows 虛擬機上自動部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 4.3.0 |
設定 Windows 虛擬機以使用使用者指派的受控識別型驗證來執行 Azure 監視器代理程式 | 在 Windows 虛擬機上自動部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域,此原則將會安裝擴充功能,並將其設定為使用指定的使用者指派受控識別,否則請略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0 |
應針對列出的虛擬機映像啟用相依性代理程式 | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機為不符合規範。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
應針對列出的虛擬機映像在虛擬機擴展集中啟用相依性代理程式 | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機擴展集為不相容。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
部署 - 將相依性代理程式設定為在 Windows 虛擬機擴展集上啟用 | 如果虛擬機映像位於定義的清單中,且未安裝代理程式,請部署適用於 Windows 虛擬機擴展集的相依性代理程式。 如果您的擴展集 upgradePolicy 設定為 [手動],您必須藉由更新擴充功能,將擴充功能套用至集合中的所有虛擬機。 | DeployIfNotExists, Disabled | 3.1.0 |
部署 - 將相依性代理程式設定為在 Windows 虛擬機上啟用 | 如果虛擬機映像位於定義的清單中,且未安裝代理程式,請部署 Windows 虛擬機的相依性代理程式。 | DeployIfNotExists, Disabled | 3.1.0 |
部署 - 將診斷設定設定設定為在 Azure 金鑰保存庫 受控 HSM 上啟用的 Log Analytics 工作區 | 部署 Azure 金鑰保存庫 受控 HSM 的診斷設定,以在任何 Azure 金鑰保存庫 受控 HSM 建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 將Log Analytics擴充功能設定為在 Windows 虛擬機擴展集上啟用 | 如果虛擬機映像位於定義的清單中,且未安裝擴充功能,請部署適用於 Windows 虛擬機擴展集的 Log Analytics 擴充功能。 如果您的擴展集 upgradePolicy 設定為 [手動],您必須藉由更新擴充功能,將擴充功能套用至集合中的所有虛擬機。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 3.1.0 |
部署 - 將Log Analytics擴充功能設定為在 Windows 虛擬機上啟用 | 如果虛擬機映像位於定義的清單中,且未安裝擴充功能,請部署適用於 Windows 虛擬機的 Log Analytics 擴充功能。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 3.1.0 |
部署 Linux 虛擬機擴展集的相依性代理程式 | 如果 VM 映像 (OS) 位於定義的清單中,且未安裝代理程式,請部署 Linux 虛擬機擴展集的相依性代理程式。 注意:如果您的擴展集 upgradePolicy 設定為 [手動],您必須藉由呼叫升級,將擴充功能套用至集合中的所有虛擬機。 在 CLI 中,這會是 az vmss update-instances。 | deployIfNotExists | 5.0.0 |
使用 Azure 監視代理程式設定部署 Linux 虛擬機擴展集的相依性代理程式 | 如果 VM 映像 (OS) 位於定義的清單中,且未安裝代理程式,請使用 Azure 監視代理程式設定來部署 Linux 虛擬機擴展集的相依性代理程式。 注意:如果您的擴展集 upgradePolicy 設定為 [手動],您必須藉由呼叫升級,將擴充功能套用至集合中的所有虛擬機。 在 CLI 中,這會是 az vmss update-instances。 | DeployIfNotExists, Disabled | 3.1.1 |
部署 Linux 虛擬機的相依性代理程式 | 如果 VM 映像 (OS) 位於定義的清單中,且未安裝代理程式,請部署 Linux 虛擬機的相依性代理程式。 | deployIfNotExists | 5.0.0 |
使用 Azure 監視代理程式設定部署 Linux 虛擬機的相依性代理程式 | 如果 VM 映像 (OS) 位於定義的清單中,且未安裝代理程式,請使用 Azure 監視代理程式設定部署 Linux 虛擬機的相依性代理程式。 | DeployIfNotExists, Disabled | 3.1.1 |
使用 Azure 監視代理程式設定在 Windows 虛擬機擴展集上部署要啟用的相依性代理程式 | 如果虛擬機映像位於定義的清單中,且未安裝代理程式,請使用 Azure 監視代理程式設定來部署 Windows 虛擬機擴展集的相依性代理程式。 如果您的擴展集 upgradePolicy 設定為 [手動],您必須藉由更新擴充功能,將擴充功能套用至集合中的所有虛擬機。 | DeployIfNotExists, Disabled | 1.2.2 |
使用 Azure 監視代理程式設定在 Windows 虛擬機上部署要啟用的相依性代理程式 | 如果虛擬機映像位於定義且未安裝代理程式清單中,請使用 Azure 監視代理程式設定部署 Windows 虛擬機的相依性代理程式。 | DeployIfNotExists, Disabled | 1.2.2 |
將 Batch 帳戶的診斷 設定 部署至事件中樞 | 當建立或更新遺漏此診斷設定的任何 Batch 帳戶時,將 Batch 帳戶的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Batch 帳戶的診斷 設定 部署至 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何 Batch 帳戶時,將 Batch 帳戶的診斷設定部署至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Data Lake Analytics 的診斷 設定 部署到事件中樞 | 當建立或更新遺漏此診斷設定的任何 Data Lake Analytics 時,將 Data Lake Analytics 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Data Lake Analytics 的診斷 設定 部署到 Log Analytics 工作區 | 部署 Data Lake Analytics 的診斷設定,以在建立或更新遺漏此診斷設定的任何 Data Lake Analytics 時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Data Lake 儲存體 Gen1 的診斷 設定 部署到事件中樞 | 當任何缺少此診斷設定的 Data Lake 儲存體 Gen1 建立或更新時,將 Data Lake 儲存體 Gen1 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Data Lake 儲存體 Gen1 的診斷 設定 部署到 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何 Data Lake 儲存體 Gen1 時,將 Data Lake 儲存體 Gen1 的診斷設定部署至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將事件中樞的診斷設定部署至事件中樞 | 部署事件中樞的診斷設定,以在建立或更新遺漏此診斷設定的任何事件中樞時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.1.0 |
將事件中樞的診斷設定部署至 Log Analytics 工作區 | 部署事件中樞的診斷設定,以在建立或更新遺漏此診斷設定的任何事件中樞時串流至區域Log Analytics工作區。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Key Vault 的診斷設定部署至 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何 金鑰保存庫 時,將 金鑰保存庫 部署至區域Log Analytics工作區。 | DeployIfNotExists, Disabled | 3.0.0 |
將Logic Apps的診斷 設定 部署至事件中樞 | 當建立或更新遺漏此診斷設定的任何 Logic Apps 時,將 Logic Apps 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將Logic Apps的診斷 設定 部署至Log Analytics工作區 | 當建立或更新遺漏此診斷設定的任何 Logic Apps 時,將 Logic Apps 的診斷設定部署至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
部署網路安全性群組的診斷設定 | 此原則會自動將診斷設定部署到網路安全組。 會自動建立名稱為 '{storagePrefixParameter}{NSGLocation}' 的記憶體帳戶。 | deployIfNotExists | 2.0.1 |
將搜尋服務的診斷 設定 部署至事件中樞 | 當建立或更新遺漏此診斷設定的任何搜尋服務時,將 Search Services 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將搜尋服務的診斷 設定 部署至 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何搜尋服務時,將 Search Services 的診斷設定部署至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將 服務匯流排 診斷 設定 部署至事件中樞 | 當建立或更新遺漏此診斷設定的任何 服務匯流排 時,將 服務匯流排 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 服務匯流排的診斷 設定 部署至 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何 服務匯流排 時,將 服務匯流排 的診斷設定部署至區域Log Analytics工作區。 | DeployIfNotExists, Disabled | 2.1.0 |
將串流分析的診斷 設定 部署到事件中樞 | 當建立或更新遺漏此診斷設定的任何串流分析時,將串流分析的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將串流分析的診斷 設定 部署至 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何串流分析時,將串流分析的診斷設定部署至區域Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
部署適用於Linux虛擬機擴展集的Log Analytics擴充功能。 請參閱下方的淘汰通知 | 如果 VM 映像 (OS) 位於定義的清單中,且未安裝擴充功能,請部署適用於 Linux 虛擬機擴展集的 Log Analytics 擴充功能。 注意:如果您的擴展集 upgradePolicy 設定為 [手動],您必須藉由呼叫升級,將擴充功能套用至集合中的所有 VM。 在 CLI 中,這會是 az vmss update-instances。 淘汰通知:在 2024 年 8 月 31 日之後,將不會支援 Log Analytics 代理程式。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」 | deployIfNotExists | 3.0.0 |
部署適用於Linux VM的Log Analytics擴充功能。 請參閱下方的淘汰通知 | 如果 VM 映射 (OS) 位於定義的清單中,且未安裝擴充功能,請部署適用於 Linux VM 的 Log Analytics 擴充功能。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」 | deployIfNotExists | 3.0.0 |
針對事件中樞啟用 API 管理 服務類別群組的記錄功能(microsoft.apimanagement/service) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件中樞,以取得 API 管理 服務(microsoft.apimanagement/service)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 log Analytics 啟用依類別群組記錄 API 管理 服務 (microsoft.apimanagement/service) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 log Analytics 工作區,以取得 API 管理 服務(microsoft.apimanagement/service)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 API 管理 服務啟用類別群組的記錄功能(microsoft.apimanagement/service),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 API 管理 服務 儲存體 帳戶(microsoft.apimanagement/service)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件中樞啟用 應用程式組態 類別群組的記錄功能(microsoft.appconfiguration/configurationstores) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件中樞以進行 應用程式組態 (microsoft.appconfiguration/configurationstores)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 log Analytics 啟用依類別群組的記錄 應用程式組態 (microsoft.appconfiguration/configurationstores) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至log Analytics工作區以進行 應用程式組態 (microsoft.appconfiguration/configurationstores)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
依類別群組啟用 應用程式組態 記錄(microsoft.appconfiguration/configurationstores)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 儲存體 帳戶以進行 應用程式組態 (microsoft.appconfiguration/configurationstores)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 App Service 啟用依類別群組的記錄功能(microsoft.web/sites) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 App Service 的 Log Analytics 工作區(microsoft.web/sites)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式群組啟用依類別群組的記錄功能(microsoft.desktopvirtualization/applicationgroups) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Azure 虛擬桌面應用程式群組的 Log Analytics 工作區(microsoft.desktopvirtualization/applicationgroups)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Application Insights 啟用依類別群組的記錄功能(Microsoft.Insights/components) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Application Insights 的 Log Analytics 工作區(Microsoft.Insights/components)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對證明提供者啟用依類別群組的記錄功能(microsoft.attestation/attestationproviders) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至證明提供者的事件中樞(microsoft.attestation/attestationproviders)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對證明提供者啟用依類別群組的記錄功能(microsoft.attestation/attestationproviders) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至證明提供者的Log Analytics工作區(microsoft.attestation/證明providers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對證明提供者啟用依類別群組的記錄功能(microsoft.attestation/attestationproviders),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至證明提供者的 儲存體 帳戶(microsoft.attestation/attestviders)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用自動化帳戶類別群組的記錄功能 (microsoft.automation/automationaccounts) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至自動化帳戶事件中樞(microsoft.automation/automationaccounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對自動化帳戶啟用依類別群組的記錄功能 (microsoft.automation/automationaccounts) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於自動化帳戶的Log Analytics工作區(microsoft.automation/automationaccounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對自動化帳戶啟用依類別群組的記錄功能(microsoft.automation/automationaccounts),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 儲存體 自動化帳戶帳戶(microsoft.automation/automationaccounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用 AVS 私人雲端類別群組的記錄功能(microsoft.avs/privateclouds) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 AVS 私人雲端事件中樞(microsoft.avs/privateclouds)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 AVS 私人雲端啟用依類別群組記錄 (microsoft.avs/privateclouds) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 AVS 私人雲端的 Log Analytics 工作區(microsoft.avs/privateclouds)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
依類別群組啟用 AVS 私人雲端的記錄功能(microsoft.avs/privateclouds)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 AVS 私人雲端的 儲存體 帳戶(microsoft.avs/privateclouds)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用 Azure Cache for Redis 類別群組的記錄功能(microsoft.cache/redis) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure Cache for Redis 的事件中樞(microsoft.cache/redis)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure Cache for Redis 啟用類別群組的記錄功能(microsoft.cache/redis) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure Cache for Redis 的 Log Analytics 工作區(microsoft.cache/redis)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Cache for Redis 啟用類別群組的記錄功能(microsoft.cache/redis),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure Cache for Redis 的 儲存體 帳戶(microsoft.cache/redis)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Cosmos DB 啟用依類別群組的記錄功能 (microsoft.documentdb/databaseaccounts) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure Cosmos DB 的 Log Analytics 工作區(microsoft.documentdb/databaseaccounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure FarmBeats 啟用依類別群組的記錄功能(microsoft.agfoodplatform/farmbeats) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure FarmBeats 的事件中樞(microsoft.agfoodplatform/farmbeats)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure FarmBeats 啟用依類別群組的記錄功能(microsoft.agfoodplatform/farmbeats) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Azure FarmBeats 的 Log Analytics 工作區(microsoft.agfoodplatform/farmbeats)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure FarmBeats 啟用依類別群組的記錄功能(microsoft.agfoodplatform/farmbeats),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure FarmBeats 的 儲存體 帳戶(microsoft.agfoodplatform/farmbeats)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 機器學習 (microsoft.machinelearningservices/workspaces) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Azure 事件中樞 機器學習 (microsoft.machinelearningservices/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure 機器學習 啟用依類別群組的記錄功能(microsoft.machinelearningservices/workspaces) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure 機器學習 的 Log Analytics 工作區(microsoft.machinelearningservices/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 機器學習 啟用依類別群組的記錄功能(microsoft.machinelearningservices/workspaces)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Azure 機器學習 儲存體 帳戶(microsoft.machinelearningservices/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Bastions(microsoft.network/bastionhosts) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Bastions 事件中樞(microsoft.network/bastionhosts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Bastions 啟用依類別群組的記錄功能 (microsoft.network/bastionhosts) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Bastions 的 Log Analytics 工作區(microsoft.network/bastionhosts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Bastions 啟用類別群組的記錄功能(microsoft.network/bastionhosts),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 儲存體 帳戶的 Bastions (microsoft.network/bastionhosts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用認知服務 (microsoft.cognitiveservices/accounts) 至事件中樞的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的事件中樞 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
啟用認知服務 (microsoft.cognitiveservices/accounts) 至 Log Analytics 的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的 Log Analytics 工作區 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用認知服務 (microsoft.cognitiveservices/accounts) 至儲存體的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的儲存體帳戶 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器登錄啟用依類別群組的記錄功能(microsoft.containerregistry/registries) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至容器登錄的事件中樞(microsoft.containerregistry/registries)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對容器登錄啟用依類別群組的記錄功能 (microsoft.containerregistry/registries) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至容器登錄的Log Analytics工作區(microsoft.containerregistry/registries)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器登錄啟用類別群組的記錄功能(microsoft.containerregistry/registries),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至容器登錄的 儲存體 帳戶(microsoft.containerregistry/registries)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用事件方格網域類別群組的記錄功能(microsoft.eventgrid/domains) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格網域的事件中樞(microsoft.eventgrid/domains)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
為 Log Analytics 啟用事件方格網域 (microsoft.eventgrid/domains) 類別群組的記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格網域的Log Analytics工作區(microsoft.eventgrid/domains)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用事件方格網域 (microsoft.eventgrid/domains) 類別群組的記錄功能,以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格網域的 儲存體 帳戶(microsoft.eventgrid/domains)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用事件方格合作夥伴命名空間的類別群組記錄 (microsoft.eventgrid/partnernamespaces) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格夥伴命名空間的事件中樞(microsoft.eventgrid/partnernamespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
為 Log Analytics 啟用事件方格合作夥伴命名空間的類別群組記錄 (microsoft.eventgrid/partnernamespaces) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格合作夥伴命名空間的Log Analytics工作區(microsoft.eventgrid/partnernamespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 類別群組的記錄,以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格合作夥伴命名空間的 儲存體 帳戶(microsoft.eventgrid/partnernamespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用事件方格主題類別群組的記錄功能(microsoft.eventgrid/topics) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格主題的事件中樞(microsoft.eventgrid/topics)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
啟用事件方格主題類別群組的記錄功能(microsoft.eventgrid/topics) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格主題的Log Analytics工作區(microsoft.eventgrid/topics)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格主題啟用依類別群組的記錄功能(microsoft.eventgrid/topics),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件方格主題的 儲存體 帳戶(microsoft.eventgrid/topics)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件中樞命名空間 (microsoft.eventhub/namespaces) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件中樞的事件中樞命名空間 (microsoft.eventhub/namespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件中樞命名空間 (microsoft.eventhub/namespaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件中樞命名空間的Log Analytics工作區(microsoft.eventhub/namespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用事件中樞命名空間 (microsoft.eventhub/namespaces) 類別群組的記錄功能,以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至事件中樞命名空間的 儲存體 帳戶(microsoft.eventhub/namespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對防火牆 (microsoft.network/azurefirewalls) 的類別群組啟用記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至防火牆的Log Analytics工作區(microsoft.network/azurefirewalls)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Front Door 和 CDN 配置檔啟用依類別群組的記錄功能(microsoft.cdn/profiles) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Front Door 和 CDN 配置檔的事件中樞(microsoft.cdn/profiles)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Front Door 和 CDN 配置檔啟用依類別群組的記錄功能(microsoft.cdn/profiles) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Front Door 和 CDN 配置檔的 Log Analytics 工作區(microsoft.cdn/profiles)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Front Door 和 CDN 配置檔啟用依類別群組的記錄功能(microsoft.cdn/profiles)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Front Door 和 CDN 配置檔的 儲存體 帳戶(microsoft.cdn/profiles)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Front Door 和 CDN 配置檔啟用依類別群組的記錄功能(microsoft.network/frontdoors)至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Front Door 和 CDN 配置檔的事件中樞(microsoft.network/frontdoors)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Front Door 和 CDN 配置檔啟用依類別群組的記錄功能(microsoft.network/frontdoors) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Front Door 和 CDN 配置檔的 Log Analytics 工作區(microsoft.network/frontdoors)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Front Door 和 CDN 配置檔啟用依類別群組的記錄功能(microsoft.network/frontdoors),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Front Door 和 CDN 配置檔的 儲存體 帳戶(microsoft.network/frontdoors)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對函式應用程式啟用依類別群組的記錄功能 (microsoft.web/sites) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至函式應用程式的Log Analytics工作區(microsoft.web/sites)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對主機集區啟用依類別群組記錄 (microsoft.desktopvirtualization/hostpools) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure 虛擬桌面主機集區的 Log Analytics 工作區(microsoft.desktopvirtualization/hostpools)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件中樞 IoT 中樞 啟用依類別群組的記錄功能(microsoft.devices/iothubs) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 IoT 中樞 事件中樞(microsoft.devices/iothubs)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 log Analytics 啟用依類別群組的記錄 IoT 中樞 (microsoft.devices/iothubs) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 IoT 中樞 的Log Analytics工作區(microsoft.devices/iothubs)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
依類別群組啟用 IoT 中樞 (microsoft.devices/iothubs) 的記錄以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 IoT 中樞 儲存體 帳戶(microsoft.devices/iothubs)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對密鑰保存庫(microsoft.keyvault/vaults)啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至密鑰保存庫的事件中樞(microsoft.keyvault/vaults)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Key Vaults 啟用依類別群組的記錄功能(microsoft.keyvault/vaults) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至密鑰保存庫的 Log Analytics 工作區(microsoft.keyvault/vaults)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對密鑰保存庫啟用依類別群組的記錄功能(microsoft.keyvault/vaults),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至密鑰保存庫的 儲存體 帳戶(microsoft.keyvault/vaults)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Log Analytics 工作區啟用依類別群組的記錄功能(microsoft.operationalinsights/workspaces) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Log Analytics 工作區的事件中樞(microsoft.operationalinsights/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Log Analytics 工作區啟用依類別群組記錄 (microsoft.operationalinsights/workspaces) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Log Analytics 工作區的 Log Analytics 工作區(microsoft.operationalinsights/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Log Analytics 工作區啟用依類別群組的記錄功能(microsoft.operationalinsights/workspaces),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Log Analytics 工作區的 儲存體 帳戶(microsoft.operationalinsights/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 HSM(microsoft.keyvault/managedhsms) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至受控 HSM 的事件中樞(microsoft.keyvault/managedhsms)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對受控 HSM 啟用依類別群組的記錄功能(microsoft.keyvault/managedhsms) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至受控 HSM 的 Log Analytics 工作區(microsoft.keyvault/managedhsms)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 HSM 啟用依類別群組的記錄功能(microsoft.keyvault/managedhsms),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至受控 HSM 的 儲存體 帳戶(microsoft.keyvault/managedhsms)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
依類別群組啟用 媒體服務 記錄功能(microsoft.media/mediaservices) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 媒體服務 事件中樞(microsoft.media/mediaservices)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 log Analytics 啟用依類別群組的記錄 媒體服務 (microsoft.media/mediaservices) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 媒體服務 的Log Analytics工作區(microsoft.media/mediaservices)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
依類別群組啟用 媒體服務 的記錄功能(microsoft.media/mediaservices)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 儲存體 帳戶以進行 媒體服務 (microsoft.media/mediaservices)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Microsoft Purview 帳戶啟用依類別群組的記錄功能(microsoft.purview/accounts) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Microsoft Purview 帳戶的事件中樞(microsoft.purview/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Microsoft Purview 帳戶啟用依類別群組記錄 (microsoft.purview/accounts) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Microsoft Purview 帳戶的 Log Analytics 工作區(microsoft.purview/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用依類別群組記錄 Microsoft Purview 帳戶 (microsoft.purview/accounts) 以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Microsoft Purview 帳戶的 儲存體 帳戶(microsoft.purview/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 microsoft.network/p2svpngateways 的事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 microsoft.network/p2svpngateways 的 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/p2svpngateways 啟用依類別群組的記錄功能,以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 microsoft.network/p2svpngateways 的 儲存體 帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 PostgreSQL 彈性伺服器啟用類別群組的記錄功能(microsoft.dbforpostgresql/flexibleservers) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的 Log Analytics 工作區(microsoft.dbforpostgresql/flexibleservers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對公用IP位址 (microsoft.network/publicipaddresses) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至公用IP位址的事件中樞(microsoft.network/publicipaddresses)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對公用IP位址啟用依類別群組的記錄功能(microsoft.network/publicipaddresses) 到Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至公用IP位址的Log Analytics工作區(microsoft.network/publicipaddresses)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用依類別群組記錄公用IP位址 (microsoft.network/publicipaddresses) 以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至公用IP位址的 儲存體帳戶(microsoft.network/publicipaddresses)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 服務匯流排 命名空間 (microsoft.servicebus/namespaces) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 服務匯流排 命名空間的事件中樞(microsoft.servicebus/namespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 log Analytics 啟用依類別群組 服務匯流排 命名空間 (microsoft.servicebus/namespaces) 的記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 服務匯流排 命名空間的Log Analytics工作區(microsoft.servicebus/namespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 服務匯流排 命名空間 (microsoft.servicebus/namespaces) 啟用依類別群組的記錄,以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 服務匯流排 命名空間的 儲存體 帳戶(microsoft.servicebus/namespaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
依類別群組啟用 SignalR 的記錄功能(microsoft.signalrservice/signalr) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SignalR 事件中樞(microsoft.signalrservice/signalr)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 SignalR 啟用依類別群組的記錄功能(microsoft.signalrservice/signalr) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SignalR 的 Log Analytics 工作區(microsoft.signalrservice/signalr)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用 SignalR 類別群組的記錄功能(microsoft.signalrservice/signalr)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 signalR 的 儲存體 帳戶(microsoft.signalrservice/signalr)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 SQL 資料庫啟用依類別群組的記錄功能(microsoft.sql/伺服器/資料庫) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SQL 資料庫事件中樞(microsoft.sql/servers/databases)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 SQL 資料庫啟用依類別群組的記錄(microsoft.sql/伺服器/資料庫) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SQL 資料庫的 Log Analytics 工作區(microsoft.sql/servers/databases)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用依類別群組記錄 SQL 資料庫 (microsoft.sql/servers/databases) 以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SQL 資料庫的 儲存體 帳戶(microsoft.sql/servers/databases)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 SQL 受控實例啟用依類別群組的記錄功能(microsoft.sql/managedinstances)至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SQL 受控實例的事件中樞(microsoft.sql/managedinstances)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 SQL 受控實例啟用依類別群組記錄 (microsoft.sql/managedinstances) 到 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SQL 受控實例的 Log Analytics 工作區(microsoft.sql/managedinstances)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 SQL 受控實例啟用依類別群組的記錄功能(microsoft.sql/managedinstances),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 SQL 受控實例 儲存體 帳戶(microsoft.sql/managedinstances)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對影片分析器 (microsoft.media/videoanalyzers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Video Analyzers 事件中樞 (microsoft.media/videoanalyzers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Video Analyzers 啟用依類別群組記錄 (microsoft.media/videoanalyzers) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Video Analyzers 的 Log Analytics 工作區(microsoft.media/videoanalyzers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對影片分析器啟用依類別群組的記錄功能(microsoft.media/videoanalyzers),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 儲存體 Video Analyzers 帳戶(microsoft.media/videoanalyzers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用虛擬網路網關類別群組的記錄功能(microsoft.network/virtualnetworkgateways) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至虛擬網路網關的事件中樞(microsoft.network/virtualnetworkgateways)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
對 Log Analytics 啟用虛擬網路網關類別群組的記錄功能(microsoft.network/virtualnetworkgateways) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至虛擬網路網關的Log Analytics工作區(microsoft.network/virtualnetworkgateways)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用虛擬網路網關類別群組的記錄功能(microsoft.network/virtualnetworkgateways)以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至虛擬網路網關的 儲存體 帳戶(microsoft.network/virtualnetworkgateways)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用磁碟區類別群組的記錄功能(microsoft.netapp/netappaccounts/capacitypools/volumes) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至磁碟區事件中樞(microsoft.netapp/netappaccounts/capacitypools/volumes)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Log Analytics 啟用磁碟區分類群組的記錄功能(microsoft.netapp/netappaccounts/capacitypools/volumes) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至磁碟區的Log Analytics工作區(microsoft.netapp/netappaccounts/capacitypools/volumes)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對磁碟區啟用依類別群組的記錄功能(microsoft.netapp/netappaccounts/capacitypools/volumes),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至磁碟區的 儲存體 帳戶(microsoft.netapp/netappaccounts/capacitypools/volumes)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Web PubSub Service 啟用依類別群組的記錄功能(microsoft.signalrservice/webpubsub) 至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Web PubSub 服務的事件中樞(microsoft.signalrservice/webpubsub)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Web PubSub Service 啟用依類別群組的記錄功能(microsoft.signalrservice/webpubsub) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至 Web PubSub Service 的 Log Analytics 工作區(microsoft.signalrservice/webpubsub)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Web PubSub Service 啟用依類別群組的記錄功能(microsoft.signalrservice/webpubsub),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Web PubSub Service 的 儲存體 帳戶(microsoft.signalrservice/webpubsub)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對工作區啟用依類別群組記錄 (microsoft.desktopvirtualization/workspaces) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至適用於 Azure 虛擬桌面工作區的 Log Analytics 工作區(microsoft.desktopvirtualization/workspaces)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
已啟用Linux Arc的機器應該已安裝 Azure 監視器代理程式 | 應透過已部署的 Azure 監視器代理程式來監視及保護已啟用 Linux Arc 的電腦。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 此原則會稽核支持區域中已啟用Arc的電腦。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 1.1.0 |
Linux 虛擬機擴展集應該已安裝 Azure 監視器代理程式 | Linux 虛擬機擴展集應該透過已部署的 Azure 監視器代理程式來監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 此原則會稽核虛擬機擴展集,並在支持的區域中使用支援的OS映射。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.1.0 |
Linux 虛擬機應該已安裝 Azure 監視器代理程式 | 應該透過已部署的 Azure 監視器代理程式來監視及保護 Linux 虛擬機。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 此原則會稽核支援區域中支援的OS映像虛擬機。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.1.0 |
應針對列出的虛擬機映像在虛擬機擴展集中啟用Log Analytics擴充功能 | 如果虛擬機映像不在定義的清單中,且未安裝擴充功能,則會將虛擬機擴展集報告為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
Log Analytics 工作區應該封鎖來自公用網路的記錄擷取和查詢 | 封鎖來自公用網路的記錄擷取和查詢,以改善工作區安全性。 只有私人連結連線的網路才能在此工作區上內嵌和查詢記錄。 深入了解:https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Log Analytics 工作區應該封鎖非 Azure Active Directory 型擷取。 | 強制執行記錄擷取以要求 Azure Active Directory 驗證可防止攻擊者未經驗證的記錄,而攻擊者可能會導致不正確的狀態、錯誤警示,以及儲存在系統中的不正確記錄。 | 拒絕、稽核、已停用 | 1.0.0 |
公用 IP 位址應為 Azure DDoS 保護啟用資源記錄 | 針對診斷設定中的公用IP位址啟用資源記錄,以串流至Log Analytics工作區。 透過通知、報告和流量記錄,深入了解攻擊流量及為降低 DDoS 攻擊所採取的動作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
應針對支持的資源啟用資源記錄以進行稽核 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 類別群組稽核在所選資源類型上是否存在診斷設定,可確保這些記錄已啟用並擷取。 適用的資源類型是支援「稽核」類別群組的資源類型。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 監視器中儲存的查詢,應儲存在客戶儲存體帳戶中,以進行記錄加密 | 將儲存體帳戶連結至 Log Analytics 工作區,以使用儲存體帳戶加密來保護已儲存的查詢。 客戶自控金鑰通常需要符合法規合規性,並進一步控制 Azure 監視器中已儲存查詢的存取權。 如需上述項目的詳細資料,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
包含具有活動記錄之容器的 儲存體 帳戶必須使用 BYOK 加密 | 此原則會稽核包含具有活動記錄之容器的 儲存體 帳戶是否使用 BYOK 加密。 只有在記憶體帳戶依設計位於與活動記錄相同的訂用帳戶時,原則才能運作。 如需待用加密 Azure 儲存體 的詳細資訊,請參閱這裡https://aka.ms/azurestoragebyok。 | AuditIfNotExists, Disabled | 1.0.0 |
舊版 Log Analytics 擴充功能不應該安裝在已啟用 Azure Arc 的 Linux 伺服器上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕在已啟用 Azure Arc 的 Linux 伺服器上安裝舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
舊版 Log Analytics 擴充功能不應該安裝在已啟用 Azure Arc 的 Windows 伺服器上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕所有未來在已啟用 Azure Arc 的 Windows 伺服器上安裝舊版代理程序擴充功能。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
舊版Log Analytics擴充功能不應該安裝在Linux虛擬機擴展集上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕 Linux 虛擬機擴展集上舊版代理程式擴充功能的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
舊版Log Analytics擴充功能不應該安裝在Linux虛擬機上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕 Linux 虛擬機上舊版代理程式擴充功能的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
舊版Log Analytics擴充功能不應該安裝在虛擬機擴展集上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕 Windows 虛擬機擴展集上舊版代理程序擴充功能的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
舊版Log Analytics擴充功能不應該安裝在虛擬機上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕 Windows 虛擬機上舊版代理程式擴充功能的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
Log Analytics 擴充功能應該安裝在 虛擬機器擴展集 | 如果未安裝Log Analytics擴充功能,此原則會稽核任何 Windows/Linux 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 1.0.1 |
虛擬機應該連線到指定的工作區 | 如果虛擬機未記錄到原則/計劃指派中指定的Log Analytics工作區,則會將虛擬機報告為不符合規範。 | AuditIfNotExists, Disabled | 1.1.0 |
虛擬機應該已安裝Log Analytics擴充功能 | 如果未安裝 Log Analytics 擴充功能,此原則會稽核任何 Windows/Linux 虛擬機。 | AuditIfNotExists, Disabled | 1.0.1 |
已啟用 Windows Arc 的機器應該已安裝 Azure 監視器代理程式 | 應透過已部署的 Azure 監視器代理程式來監視及保護已啟用 Windows Arc 的電腦。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 支援區域中已啟用 Windows Arc 的機器會監視 Azure 監視器代理程式部署。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 1.1.0 |
Windows 虛擬機擴展集應該已安裝 Azure 監視器代理程式 | Windows 虛擬機擴展集應該透過已部署的 Azure 監視器代理程式來監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 具有支援的 OS 和支援區域中的虛擬機擴展集會針對 Azure 監視器代理程式部署進行監視。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.1.0 |
Windows 虛擬機應該已安裝 Azure 監視器代理程式 | 應該透過已部署的 Azure 監視器代理程式來監視及保護 Windows 虛擬機。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 具有支援的 OS 和受支援區域中的 Windows 虛擬機會受到 Azure 監視器代理程式部署的監視。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.1.0 |
活頁簿應儲存至您控制的記憶體帳戶 | 透過攜帶您自己的記憶體 (BYOS),您的活頁簿會上傳到您控制的記憶體帳戶。 這表示您可以控制待用加密原則、存留期管理原則和網路存取。 不過,您將負責與該記憶體帳戶相關聯的成本。 如需詳細資訊,請造訪 https://aka.ms/workbooksByos | deny、Deny、audit、Audit、disabled、Disabled | 1.1.0 |
網路
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
[預覽]: Container Registry 應該使用虛擬網络服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 Container Registry。 | Audit, Disabled | 1.0.0-preview |
必須將自訂的 IPsec/IKE 原則套用至所有 Azure 虛擬網路閘道連線 | 此原則可確保所有 Azure 虛擬網路網關聯機都使用自定義因特網通訊協定安全性(Ipsec)/因特網密鑰交換(IKE) 原則。 支援的演算法和關鍵優勢 - https://aka.ms/AA62kb0 | Audit, Disabled | 1.0.0 |
所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否已啟用。 啟用流量記錄可讓您記錄IP流量流動的相關信息。 它可用於優化網路流程、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
App Service 應用程式應該使用虛擬網路服務端點 | 使用虛擬網路服務端點來限制從 Azure 虛擬網路選取的子網存取您的應用程式。 若要深入瞭解 App Service 服務端點,請流覽 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists, Disabled | 2.0.1 |
稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確認是否已設定流量記錄。 啟用流量記錄可記錄流經虛擬網路的IP流量相關信息。 它可用於優化網路流程、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
應使用 Azure WAF 部署 Azure 應用程式閘道 | 需要使用 Azure WAF 部署 Azure 應用程式閘道 資源。 | Audit, Deny, Disabled | 1.0.0 |
Azure 防火牆原則應在應用程式規則內啟用 TLS 檢查 | 建議針對所有應用程式規則啟用 TLS 檢查,以偵測、警示及降低 HTTPS 中的惡意活動。 若要深入瞭解使用 Azure 防火牆 進行 TLS 檢查,請流覽https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
Azure 防火牆 進階版 應設定有效的中繼憑證,以啟用 TLS 檢查 | 設定有效的中繼憑證,並啟用 Azure 防火牆 進階版 TLS 檢查,以偵測、警示及降低 HTTPS 中的惡意活動。 若要深入瞭解使用 Azure 防火牆 進行 TLS 檢查,請流覽https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
Azure VPN 閘道不應使用「基本」SKU | 此原則可確保 VPN 閘道不會使用「基本」SKU。 | Audit, Disabled | 1.0.0 |
azure Web 應用程式防火牆 on Azure 應用程式閘道 應該已啟用要求主體檢查 | 確定與 Azure 應用程式閘道 相關聯的 Web 應用程式防火牆 已啟用要求主體檢查。 這可讓 WAF 檢查 HTTP 主體內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
Azure Front Door 上的 Azure Web 應用程式防火牆 應該已啟用要求主體檢查 | 確定與 Azure Front Door 相關聯的 Web 應用程式防火牆 已啟用要求主體檢查。 這可讓 WAF 檢查 HTTP 主體內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
應針對 WAF 啟用 Bot 保護 Azure 應用程式閘道 | 此原則可確保所有 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 原則中都啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
應針對 Azure Front Door WAF 啟用 Bot 保護 | 此原則可確保所有 Azure Front Door Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
防火牆原則 進階版 中應空白的入侵檢測與預防系統略過清單 | 入侵檢測與預防系統 (IDPS) 旁路清單可讓您不篩選流向旁路清單中指定之任何 IP 位址、範圍和子網的流量。 不過,系統會針對所有流量重新命令啟用IDPS,以更清楚地識別已知的威脅。 若要深入瞭解使用 Azure 防火牆 進階版 的入侵檢測與預防系統 (IDPS) 簽章,請流覽https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
將 Azure 網路安全組的診斷設定設定設定為 Log Analytics 工作區 | 將診斷設定部署至 Azure 網路安全組,以將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
設定網路安全組以啟用使用分析 | 您可以使用原則建立期間提供的設定,為裝載在特定區域中的所有網路安全組啟用使用分析。 如果已啟用使用分析,則原則不會覆寫其設定。 流量記錄也會針對沒有流量的網路安全組啟用。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.2.0 |
將網路安全組設定為使用使用分析的特定工作區、記憶體帳戶和流量記錄保留原則 | 如果已啟用使用分析,則原則將會以原則建立期間所提供的設定覆寫其現有的設定。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.2.0 |
設定虛擬網路以啟用流量記錄和使用分析 | 您可以使用原則建立期間提供的設定,針對特定區域中裝載的所有虛擬網路啟用使用分析與流量記錄。 此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.1.1 |
設定虛擬網路以使用流量記錄和使用分析的特定工作區、記憶體帳戶和保留間隔 | 如果虛擬網路已啟用使用分析,則此原則將會以原則建立期間所提供的設定覆寫其現有的設定。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.1.1 |
Cosmos DB 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 | Audit, Disabled | 1.0.0 |
使用目標網路安全組部署流量記錄資源 | 設定特定網路安全組的流程記錄。 它允許記錄流經網路安全組的IP流量相關信息。 流量記錄有助於識別未知或不想要的流量、驗證網路隔離與企業存取規則的合規性、分析來自遭入侵IP和網路介面的網路流程。 | deployIfNotExists | 1.1.0 |
使用目標虛擬網路部署流量記錄資源 | 設定特定虛擬網路的流量記錄。 它允許記錄流經虛擬網路的IP流量相關信息。 流量記錄有助於識別未知或不想要的流量、驗證網路隔離與企業存取規則的合規性、分析來自遭入侵IP和網路介面的網路流程。 | DeployIfNotExists, Disabled | 1.1.1 |
於虛擬網路建立時部署網路監看員 | 此原則會在具有虛擬網路的區域建立網路監看員資源。 您必須確保有名為 networkWatcherRG 的資源群組存在,此群組將用來部署網路監看員實例。 | DeployIfNotExists | 1.0.0 |
啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
事件中樞應該使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何事件中樞。 | AuditIfNotExists, Disabled | 1.0.0 |
防火牆原則 進階版 應啟用所有IDPS簽章規則,以監視所有輸入和輸出流量 | 重新命令啟用所有入侵檢測與預防系統 (IDPS) 簽章規則,以更清楚地識別流量中的已知威脅。 若要深入瞭解使用 Azure 防火牆 進階版 的入侵檢測與預防系統 (IDPS) 簽章,請流覽https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
防火牆原則 進階版 應啟用入侵檢測與預防系統 (IDPS) | 啟用入侵檢測與預防系統 (IDPS) 可讓您監視網路是否有惡意活動、記錄此活動的相關信息、報告它,以及選擇性地嘗試封鎖它。 若要深入瞭解具有 Azure 防火牆 進階版 的入侵檢測與預防系統(IDPS),請流覽https://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
應為每個網路安全性群組設定流量記錄 | 稽核網路安全組,以確認是否已設定流量記錄。 啟用流量記錄可讓您記錄流經網路安全組的IP流量相關信息。 它可用於優化網路流程、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
閘道子網路不應設定網路安全性群組 | 如果閘道子網已設定網路安全組,此原則會拒絕。 將網路安全組指派給閘道子網會導致閘道停止運作。 | 拒絕 | 1.0.0 |
Key Vault 應該使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 金鑰保存庫。 | Audit, Disabled | 1.0.0 |
將 WAF 從 WAF 設定移轉至 應用程式閘道 上的 WAF 原則 | 如果您有 WAF 設定,而不是 WAF 原則,則您可能想要移至新的 WAF 原則。 接下來,防火牆原則將支援WAF原則設定、受控規則集、排除和停用的規則群組。 | Audit, Deny, Disabled | 1.0.0 |
網路介面應該停用IP轉送 | 此原則會拒絕啟用IP轉送的網路介面。 IP 轉送的設定會停用 Azure 對網路介面的來源和目的地檢查。 這應該由網路安全性小組檢閱。 | 拒絕 | 1.0.0 |
網路介面不應該有公用IP | 此原則會拒絕使用任何公用IP設定的網路介面。 公用IP位址可讓因特網資源對Azure資源進行輸入通訊,而 Azure 資源則會將輸出通訊至因特網。 這應該由網路安全性小組檢閱。 | 拒絕 | 1.0.0 |
網路監看員流程記錄應已啟用流量分析 | 使用分析會分析流量記錄,以提供 Azure 雲端中流量的深入解析。 它可用來可視化 Azure 訂用帳戶之間的網路活動,並識別熱點、識別安全性威脅、瞭解流量模式、找出網路設定錯誤等等。 | Audit, Disabled | 1.0.1 |
應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
SQL Server 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 | AuditIfNotExists, Disabled | 1.0.0 |
儲存體 帳戶應使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 儲存體 帳戶。 | Audit, Disabled | 1.0.0 |
訂用帳戶應設定 Azure 防火牆 進階版 以提供額外的保護層 | Azure 防火牆 進階版 提供進階威脅防護,以滿足高度敏感且受管制的環境需求。 將 Azure 防火牆 進階版 部署至您的訂用帳戶,並確定所有服務流量都受到 Azure 防火牆 進階版的保護。 若要深入瞭解 Azure 防火牆 進階版,請流覽https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
虛擬機器應該連線到已核准的虛擬網路 | 此原則會稽核聯機到未核准之虛擬網路的任何虛擬機。 | Audit, Deny, Disabled | 1.0.0 |
虛擬網路應受 Azure DDoS 保護的保護 | 使用 Azure DDoS 保護來保護您的虛擬網路,防止體積型和通訊協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 |
虛擬網路應該使用指定的虛擬網路閘道 | 如果預設路由未指向指定的虛擬網路網關,此原則會稽核任何虛擬網路。 | AuditIfNotExists, Disabled | 1.0.0 |
VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證 | 停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證,藉此提升安全性。 深入了解 Azure AD 驗證,請參閱https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
Web 應用程式防火牆 (WAF) 應啟用應用程式閘道的所有防火牆規則 | 啟用所有 Web 應用程式防火牆 (WAF) 規則可強化您的應用程式安全性,並保護您的 Web 應用程式免於常見的弱點。 若要深入瞭解 Web 應用程式防火牆 應用程式閘道,請流覽https://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 強制在所有 Web 應用程式防火牆 原則上使用「偵測」或「預防」模式,以用於 應用程式閘道。 | Audit, Deny, Disabled | 1.0.0 |
Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 授權在 Azure Front Door Service 的所有 Web 應用程式防火牆 原則上使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
入口網站
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
共用儀錶板不應該有內嵌內容的 Markdown 圖格 | 不允許建立在 Markdown 磚中有內嵌內容的共用儀錶板,並強制將內容儲存為在線裝載的 Markdown 檔案。 如果您在 Markdown 圖格中使用內嵌內容,則無法管理內容的加密。 藉由設定您自己的記憶體,您可以加密、雙重加密,甚至攜帶您自己的密鑰。 啟用此原則會限制使用者使用 2020-09-01-preview 或更新版本的共用儀錶板 REST API。 | Audit, Deny, Disabled | 1.0.0 |
復原能力
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: API 管理 服務應該是區域備援 | API 管理 服務可以設定為區域備援。 如果 API 管理 服務 SKU 名稱為「進階版」,且其區域陣列中至少有兩個專案,則服務為區域備援。 此原則會識別 API 管理 服務缺少承受區域中斷所需的備援。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]: App Service 方案應該是區域備援 | App Service 方案可以設定為區域備援。 當 App Service 方案的 'zoneRedundant' 屬性設定為 'false' 時,它不會針對區域備援進行設定。 此原則會識別並強制執行App Service方案的區域備援設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 應用程式閘道 應該是區域復原 | 應用程式閘道 可以設定為「區域對齊」、「區域備援」或「區域備援」。 應用程式閘道 smthat 在其區域陣列中,有一個專案會視為區域對齊。 相反地,應用程式 Gatmways 在其區域陣列中具有n3或更多專案,會辨識為區域備援。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure AI 搜尋服務應該是區域備援 | Azure AI 搜尋服務可以設定為區域備援。 當您將兩個或多個復本新增至搜尋服務時,會使用可用性區域。 每個復本都會放在區域內的不同可用性區域中。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure Cache for Redis Enterprise 和 Flash 應該是區域備援 | Azure Cache for Redis Enterprise 和 Flash 可以設定為區域備援。 其區域陣列中少於 3 個專案的 Azure Cache for Redis Enterprise 和 Flash 實例不是區域備援。 此原則會識別 Azure Cache for Redis Enterprise 和 Flash 實例,缺少承受區域中斷所需的備援。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: Azure Cache for Redis 應該是區域備援 | Azure Cache for Redis 可以設定為區域備援。 其區域陣列中少於2個專案的 Azure Cache for Redis 實例不是區域備援。 此原則會識別 Azure Cache for Redis 實例,缺少承受區域中斷所需的備援。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: Azure 數據總管叢集應該是區域備援 | Azure 數據總管叢集可以設定為區域備援。 如果 Azure 數據總管叢集在其區域陣列中至少有兩個專案,則會將其視為區域備援。 此原則可協助確保您的 Azure 數據總管叢集是區域備援。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 適用於 MySQL 的 Azure 資料庫 彈性伺服器應該是區域復原 | 適用於 MySQL 的 Azure 資料庫 彈性伺服器可以設定為區域對齊、區域備援或兩者皆無法設定。 在相同區域中選取待命伺服器的 MySQL 伺服器會被視為區域對齊。 相反地,已選取待命伺服器的 MySQL 伺服器會辨識為區域備援,以取得高可用性。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器應該是區域復原 | 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器可以設定為區域對齊、區域備援或兩者皆無法設定。 在相同區域中選取待命伺服器的 PostgreSQL 伺服器會被視為區域對齊。 相反地,已選取待命伺服器的PostgreSQL伺服器會辨識為區域備援,以用於高可用性的不同區域。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure HDInsight 應該是區域對齊 | Azure HDInsight 可以設定為區域對齊或不對齊。 在其區域陣列中只有一個專案的 Azure HDInsight 會被視為區域對齊。 此原則可確保 Azure HDInsight 叢集已設定為在單一可用性區域內運作。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: Azure Kubernetes Service 受控叢集應該是區域備援 | Azure Kubernetes Service 受控叢集可以設定為區域備援。 此原則會檢查叢集中的節點集區,並確保已為所有節點集區設定 avaialbilty 區域。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure 受控 Grafana 應該是區域備援 | Azure 受控 Grafana 可以設定為區域備援。 Azure 受控 Grafana 實例是區域備援,它是 'zoneRedundancy' 屬性設定為 'Enabled'。 強制執行此原則有助於確保您的 Azure 受控 Grafana 已適當地設定為區域復原功能,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 備份和 Site Recovery 應該是區域備援 | 備份和 Site Recovery 可以設定為區域備援。 如果備份和 Site Recovery 是區域備援,如果是 'standardTier 儲存體 Redundancy' 屬性設定為 'ZoneRedundant'。 強制執行此原則有助於確保已適當設定備份和 Site Recovery 以進行區域復原,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 備份保存庫應該是區域備援 | 備份保存庫可以設定為區域備援。 如果備份保存庫的記憶體設定類型設定為 「ZoneRedundant」,則備份保存庫是區域備援,而且會被視為具復原性。 異地備援或本地備援備份保存庫不會被視為復原。 強制執行此原則有助於確保備份保存庫已針對區域復原進行適當設定,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 容器應用程式應該是區域備援 | 容器應用程式可以設定為區域備援。 如果容器應用程式的 『ZoneRedundant』 屬性設定為 true,容器應用程式就會是區域備援。 此原則會識別容器應用程式缺少承受區域中斷所需的備援。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 容器執行個體 應該是區域對齊 | 容器執行個體 可以設定為區域對齊。 如果區域陣列中只有一個專案,則會將其視為「區域對齊」。 此原則可確保它們已設定為在單一可用性區域內運作。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: Container Registry 應該是區域備援 | 容器登錄可以設定為區域備援。 當 Container Registry 的 zoneRedundancy 屬性設定為 'Disabled'時,表示登錄不是區域備援。 強制執行此原則有助於確保您的 Container Registry 已針對區域復原進行適當設定,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: Cosmos 資料庫帳戶應該是區域備援 | Cosmos 資料庫帳戶可以設定為區域備援。 如果 'enableMultipleWriteLocations' 設定為 'true',則所有位置都必須有 'isZoneRedundant' 属性,而且必須設定為 'true'。 如果 'enableMultipleWriteLocations' 設定為 'false',則主要位置 ('failoverPriority' 設定為 0) 必須具有 'isZoneRedundant' 属性,而且它必須設定為 'true'。 強制執行此原則可確保 Cosmos 資料庫帳戶已適當地設定為區域備援。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 事件中樞應該是區域備援 | 事件中樞可以設定為區域備援。 如果事件中樞的 『zoneRedundant』 屬性設定為 『true』,則事件中樞是區域備援。 強制執行此原則有助於確保事件中樞已針對區域復原進行適當設定,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 防火牆應該是區域復原 | 防火牆可以設定為「區域對齊」、「區域備援」或「區域備援」。 在其區域陣列中只有一個專案的防火牆會被視為區域對齊。 相反地,在其區域陣列中具有3個或更多專案的防火牆會辨識為區域備援。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 負載平衡器應該是區域復原 | 除了 Basic 以外的 SKU,Load Balancer 會繼承其前端中公用 IP 位址的復原能力。 結合「公用IP位址應該是區域復原」原則時,此方法可確保必要的備援能力可承受區域中斷。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 受控磁碟 應該是區域復原 | 受控磁碟 可以設定為「區域對齊」、「區域備援」或「區域備援」。 受控磁碟 只有一個區域指派是區域對齊。 以 ZRS 結尾的 sku 名稱 受控磁碟 為區域備援。 此原則可協助識別並強制執行這些 受控磁碟的復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: NAT 閘道應為區域對齊 | NAT 閘道可以設定為區域對齊或不對齊。 在其區域陣列中只有一個專案的NAT閘道會被視為區域對齊。 此原則可確保 NAT 閘道已設定為在單一可用性區域內運作。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 公用IP位址應該是區域復原 | 公用IP位址可以設定為「區域對齊」、「區域備援」或「區域備援」。 屬於區域的公用IP位址,其區域陣列中只有一個專案會視為區域對齊。 相反地,區域公用IP位址,其區域陣列中有3個以上的專案會辨識為區域備援。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]: 公用IP前綴應該是區域復原 | 公用IP前置詞可以設定為區域對齊、區域備援或兩者皆無法設定。 在其區域陣列中只有一個專案的公用IP前置詞會被視為區域對齊。 相反地,其區域陣列中具有 3 個或更多專案的公用 IP 前置詞會辨識為區域備援。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 服務匯流排 應該是區域備援 | 服務匯流排 可以設定為區域備援。 當 'zoneRedundant' 屬性設定為 服務匯流排 的 'false' 時,表示它未針對區域備援進行設定。 此原則會識別並強制執行 服務匯流排 實例的區域備援設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: Service Fabric 叢集應該是區域備援 | Service Fabric 叢集可以設定為區域備援。 nodeType 未將 multipleAvailabilityZones 設定為 true 的 Servicefabric 叢集不是區域備援。 此原則會識別 Servicefabric 叢集缺少承受區域中斷所需的備援。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: SQL 資料庫 應該是區域備援 | SQL 資料庫 可以設定為區域備援。 設定為 『false』 的 'zoneRedundant' 設定為 'false' 的資料庫不會針對區域備援進行設定。 此原則可協助識別需要區域備援設定的 SQL 資料庫,以增強 Azure 內的可用性和復原能力。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: SQL 彈性資料庫集區應該是區域備援 | SQL 彈性資料庫集區可以設定為區域備援。 如果 SQL 彈性資料庫集區是區域備援,如果是 『zoneRedundant』 屬性設定為 『true』。 強制執行此原則有助於確保事件中樞已針對區域復原進行適當設定,降低區域中斷期間停機的風險。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: SQL 受管理執行個體 應該是區域備援 | SQL 受管理執行個體 可以設定為區域備援。 設定為 'false' 的 'zoneRedundant' 設定為 'false' 的實例不會針對區域備援進行設定。 此原則可協助識別需要區域備援設定的 SQL ManagedInstance,以增強 Azure 內的可用性和復原能力。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 儲存體 帳戶應該是區域備援 | 儲存體 帳戶可以設定為區域備援。 如果 儲存體 帳戶的 SKU 名稱不是以 『ZRS』 結尾,或其種類為 『儲存體』,則不是區域備援。 此原則可確保您的 儲存體 帳戶使用區域備援設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 虛擬機器擴展集 應該是區域復原 | 虛擬機器擴展集 可以設定為「區域對齊」、「區域備援」或「區域備援」。 在其區域陣列中只有一個專案的 虛擬機器擴展集 會被視為區域對齊。 相反地,虛擬機器擴展集 其區域數位中有 3 個以上的專案,且容量至少 3 會辨識為區域備援。 此原則可協助識別並強制執行這些復原設定。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 虛擬機器 應該是區域對齊 | 虛擬機器 可以設定為區域對齊。 如果區域陣列中只有一個專案,則會將其視為「區域對齊」。 此原則可確保它們已設定為在單一可用性區域內運作。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]: 虛擬網路網關應該是區域備援 | 虛擬網路閘道可以設定為區域備援。 SKU 名稱或層級未以 『AZ』 結尾的虛擬網路閘道不是區域備援。 此原則可識別缺乏承受區域中斷所需的備援虛擬網路網關。 | Audit, Deny, Disabled | 1.0.0-preview |
Search
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 認知搜尋服務應使用支援私人連結的 SKU | 使用支援 Azure 認知搜尋的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的搜尋服務,就能降低資料外洩的風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure 認知搜尋服務應停用公用網路存取 | 停用公用網路存取可確保 Azure 認知搜尋服務不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您搜尋服務的曝光。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure 認知搜尋 服務應停用本機驗證方法 | 停用本機驗證方法可確保 Azure 認知搜尋 服務完全需要 Azure Active Directory 身分識別進行驗證,藉此改善安全性。 深入了解:https://aka.ms/azure-cognitive-search/rbac。 請注意,雖然停用本機驗證參數仍處於預覽狀態,但此原則的拒絕效果可能會導致有限的 Azure 認知搜尋 入口網站功能,因為入口網站的某些功能使用不支持 參數的 GA API。 | Audit, Deny, Disabled | 1.0.0 |
Azure 認知搜尋 服務應該使用客戶管理的密鑰來加密待用數據 | 在 Azure 認知搜尋 服務上使用客戶管理的金鑰啟用待用加密,可提供用來加密待用數據的金鑰的額外控制權。 這項功能通常適用於具有特殊合規性需求的客戶,以使用金鑰保存庫管理數據加密密鑰。 | Audit, Deny, Disabled | 1.0.0 |
Azure 認知搜尋服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure 認知搜尋,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Disabled | 1.0.0 |
設定 Azure 認知搜尋 服務以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 認知搜尋 服務完全需要 Azure Active Directory 身分識別進行驗證。 深入了解:https://aka.ms/azure-cognitive-search/rbac。 | 修改、停用 | 1.0.0 |
設定 Azure 認知搜尋 服務以停用公用網路存取 | 停用 Azure 認知搜尋 服務的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | 修改、停用 | 1.0.0 |
設定 Azure 認知搜尋 服務以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至您的 Azure 認知搜尋 服務。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 認知搜尋 服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure 認知搜尋 服務,您可以降低數據外泄風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
資訊安全中心
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure 安全性代理程序應該安裝在Linux Arc 機器上 | 在 Linux Arc 機器上安裝 Azure 安全性代理程式,以監視您的電腦是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應在Linux虛擬機擴展集上安裝 Azure 安全性代理程式 | 在 Linux 虛擬機擴展集上安裝 Azure 安全性代理程式,以監視機器是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 2.0.0-preview |
[預覽]:應在Linux虛擬機上安裝 Azure 安全性代理程式 | 在 Linux 虛擬機上安裝 Azure 安全性代理程式,以監視機器是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 2.0.0-preview |
[預覽]:Azure 安全性代理程序應該安裝在 Windows Arc 機器上 | 在 Windows Arc 機器上安裝 Azure 安全性代理程式,以監視您的電腦是否有安全性設定和弱點。 Azure 資訊安全中心 中可以看到和管理評量的結果。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應在 Windows 虛擬機擴展集上安裝 Azure 安全性代理程式 | 在 Windows 虛擬機擴展集上安裝 Azure 安全性代理程式,以監視機器是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 2.1.0-preview |
[預覽]:應在 Windows 虛擬機上安裝 Azure 安全性代理程式 | 在 Windows 虛擬機上安裝 Azure 安全性代理程式,以監視機器是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 2.1.0-preview |
[預覽]: ChangeTracking 延伸模組應該安裝在Linux Arc 計算機上 | 在 Linux Arc 電腦上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: ChangeTracking 擴充功能應該安裝在Linux 虛擬機上 | 在 Linux 虛擬機上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 2.0.0-preview |
[預覽]: ChangeTracking 擴充功能應該安裝在Linux虛擬機擴展集上 | 在 Linux 虛擬機擴展集上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 2.0.0-preview |
[預覽]: ChangeTracking 延伸模組應該安裝在 Windows Arc 計算機上 | 在 Windows Arc 計算機上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: ChangeTracking 擴充功能應該安裝在 Windows 虛擬機上 | 在 Windows 虛擬機上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 2.0.0-preview |
[預覽]: ChangeTracking 擴充功能應該安裝在 Windows 虛擬機擴展集上 | 在 Windows 虛擬機擴展集上安裝 ChangeTracking 擴充功能,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 2.0.0-preview |
[預覽]:在虛擬機上設定適用於 SQL 代理程式的 Azure Defender | 設定 Windows 機器以自動安裝安裝 Azure 監視器代理程式的適用於 SQL 的 Azure Defender 代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與計算機相同的區域中建立資源群組和Log Analytics工作區。 目標虛擬機必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定 Linux Arc 機器的 ChangeTracking 擴充功能 | 將 Linux Arc 機器設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定適用於Linux虛擬機擴展集的 ChangeTracking 擴充功能 | 將 Linux 虛擬機擴展集設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定Linux虛擬機的 ChangeTracking 擴充功能 | 將 Linux 虛擬機設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定 Windows Arc 計算機的 ChangeTracking 延伸模組 | 將 Windows Arc 機器設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定 Windows 虛擬機擴展集的 ChangeTracking 擴充功能 | 將 Windows 虛擬機擴展集設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定 Windows 虛擬機的 ChangeTracking 擴充功能 | 將 Windows 虛擬機設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定支援的Linux Arc機器以自動安裝 Azure 安全性代理程式 | 設定支援的Linux Arc機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標 Linux Arc 機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定支援的Linux虛擬機擴展集以自動安裝 Azure 安全性代理程式 | 設定支援的 Linux 虛擬機擴展集,以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標虛擬機必須位於支援的位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定支援的Linux虛擬機擴展集以自動安裝客體證明擴充功能 | 設定支援的Linux虛擬機擴展集,以自動安裝客體證明延伸模組,以允許 Azure 資訊安全中心 主動證明及監視開機完整性。 開機完整性是透過遠程證明進行證明。 | DeployIfNotExists, Disabled | 6.1.0-preview |
[預覽]:設定支援的Linux虛擬機以自動啟用安全開機 | 設定支援的Linux虛擬機,以自動啟用安全開機,以減輕開機鏈的惡意和未經授權的變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 | DeployIfNotExists, Disabled | 5.0.0-preview |
[預覽]:設定支援的Linux虛擬機以自動安裝 Azure 安全性代理程式 | 設定支援的Linux虛擬機以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標虛擬機必須位於支援的位置。 | DeployIfNotExists, Disabled | 7.0.0-preview |
[預覽]:設定支援的Linux虛擬機以自動安裝客體證明擴充功能 | 將支援的Linux虛擬機設定為自動安裝客體證明延伸模組,以允許 Azure 資訊安全中心 主動證明及監視開機完整性。 開機完整性是透過遠程證明進行證明。 | DeployIfNotExists, Disabled | 7.1.0-preview |
[預覽]:設定支援的虛擬機以自動啟用 vTPM | 設定支援的虛擬機以自動啟用 vTPM,以協助測量開機和其他需要 TPM 的 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式 | 設定支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標 Windows Arc 機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定支援的 Windows 機器以自動安裝 Azure 安全性代理程式 | 設定支援的 Windows 機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標虛擬機必須位於支援的位置。 | DeployIfNotExists, Disabled | 5.1.0-預覽版 |
[預覽]:設定支援的 Windows 虛擬機擴展集以自動安裝 Azure 安全性代理程式 | 設定支援的 Windows 虛擬機擴展集,以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標 Windows 虛擬機擴展集必須位於支援的位置。 | DeployIfNotExists, Disabled | 2.1.0-preview |
[預覽]:設定支援的 Windows 虛擬機擴展集以自動安裝客體證明擴充功能 | 設定支援的 Windows 虛擬機擴展集,以自動安裝客體證明延伸模組,以允許 Azure 資訊安全中心 主動證明及監視開機完整性。 開機完整性是透過遠程證明進行證明。 | DeployIfNotExists, Disabled | 4.1.0-preview |
[預覽]:設定支援的 Windows 虛擬機以自動啟用安全開機 | 設定支援的 Windows 虛擬機,以自動啟用安全開機,以防範惡意和未經授權的開機鏈結變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 | DeployIfNotExists, Disabled | 3.0.0-preview |
[預覽]:設定支援的 Windows 虛擬機以自動安裝客體證明擴充功能 | 將支援的 Windows 虛擬機設定為自動安裝客體證明延伸模組,以允許 Azure 資訊安全中心 主動證明及監視開機完整性。 開機完整性是透過遠程證明進行證明。 | DeployIfNotExists, Disabled | 5.1.0-預覽版 |
[預覽]:設定使用 共用映像庫 映射建立的 VM 以安裝客體證明擴充功能 | 設定使用 共用映像庫 映射建立的虛擬機,以自動安裝客體證明擴充功能,以允許 Azure 資訊安全中心 主動證明及監視開機完整性。 開機完整性是透過遠程證明進行證明。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定使用 共用映像庫 映射建立的 VMSS 以安裝客體證明擴充功能 | 設定以 共用映像庫 映射建立的 VMSS,以自動安裝客體證明擴充功能,以允許 Azure 資訊安全中心 主動證明和監視開機完整性。 開機完整性是透過遠程證明進行證明。 | DeployIfNotExists, Disabled | 2.1.0-preview |
[預覽]:在Linux混合式計算機上部署 適用於端點的 Microsoft Defender 代理程式 | 在Linux混合式電腦上部署 適用於端點的 Microsoft Defender 代理程式 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[預覽]:在Linux虛擬機上部署 適用於端點的 Microsoft Defender 代理程式 | 在適用的Linux VM映像上部署 適用於端點的 Microsoft Defender代理程式。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
[預覽]:在 Windows Azure Arc 機器上部署 適用於端點的 Microsoft Defender 代理程式 | 在 Windows Azure Arc 計算機上部署 適用於端點的 Microsoft Defender。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[預覽]:在 Windows 虛擬機上部署 適用於端點的 Microsoft Defender 代理程式 | 在適用的 Windows VM 映射上部署 適用於端點的 Microsoft Defender。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器。 | AuditIfNotExists, Disabled | 6.0.0-preview |
[預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 5.1.0-預覽版 |
[預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 在受支援的虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 4.0.0-preview |
[預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 3.1.0-preview |
[預覽]:Linux 虛擬機器應該只會使用已簽署和受信任的開機元件 | 所有 OS 開機元件 (開機載入器、核心、核心驅動程式) 都必須由信任的發行者簽署。 適用於雲端的 Defender 已在一或多部 Linux 電腦上識別出不受信任的作業系統開機元件。 若要保護機器防範潛在的惡意元件,請將這些元件新增至允許清單或移除已識別的元件。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: Linux 虛擬機應該使用安全開機 | 若要防止安裝惡意代碼型 Rootkit 和開機套件,請在支援的 Linux 虛擬機上啟用安全開機。 安全開機可確保只允許已簽署的作業系統和驅動程序執行。 此評定僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: 機器應該關閉可能會公開攻擊向量的埠 | Azure 的使用規定禁止以損害、停用、過度負擔或損害任何 Microsoft 伺服器或網路的方式使用 Azure 服務。 此建議所識別的公開埠必須關閉,才能繼續提供安全性。 針對每個已識別的埠,建議也會提供潛在威脅的說明。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 在支援的 Windows 虛擬機器上啟用安全開機,以減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | Audit, Disabled | 4.0.0-preview |
[預覽]:您的機器上應該安裝系統更新 (由更新中心提供) | 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:虛擬機客體證明狀態應狀況良好 | 來賓證明是藉由將信任的記錄檔 (TCGLog) 傳送至證明伺服器來執行。 伺服器會使用這些記錄來判斷開機組件是否值得信任。 此評估旨在偵測開機鏈結的危害,這可能是bootkit或rootkit感染的結果。 此評量僅適用於已安裝客體證明延伸模組的信任啟動已啟用虛擬機。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應在受支援的虛擬機器上啟用 vTPM | 在受支援的虛擬機器上啟用虛擬 TPM 裝置,以輔助測量開機和需要 TPM 的其他 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。 | Audit, Disabled | 2.0.0-preview |
應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
應在網際網路對應的虛擬機器上套用自適性網路強化建議 | Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 | AuditIfNotExists, Disabled | 3.0.0 |
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
應驗證 Azure APIM 中的 API 端點 | 在 Azure APIM 內發佈的 API 端點應強制執行驗證,以協助將安全性風險降到最低。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 請在此深入了解損毀的使用者驗證的 OWASP API 威脅:https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
應停用或從 APIM 服務中移除非使用中的 API 端點 | 安全性最佳做法是,將已有 30 天未收到流量的 API 端點視為未使用,並應將其從 Azure APIM 服務中移除。 保留未使用的 API 端點可能會對組織造成安全性風險。 這些 API 可能是應該已從 Azure APIM 服務中淘汰,卻可能不小心還保持作用中狀態的 API。 這類 API 通常不會收到最新的安全性涵蓋範圍。 | AuditIfNotExists, Disabled | 1.0.1 |
Kubernetes Services 上應定義授權 IP 範圍 | 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 | Audit, Disabled | 2.0.1 |
您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
應該啟用 Azure DDoS 保護 | 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 | AuditIfNotExists, Disabled | 3.0.1 |
應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評估會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
Azure 登錄容器映像應已解決弱點 (由 Qualys 提供支援) | 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | AuditIfNotExists, Disabled | 2.0.2 |
應在 Kubernetes Service 上使用 Azure 角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用 Azure 角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.3 |
Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評估會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
Azure 執行中的容器映像應已解決弱點 (由 Qualys 提供支援) | 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
雲端服務 (外延支援) 角色實例應安全地設定 | 藉由確保您的雲端服務(外延支援)角色實例不會向任何OS弱點說明,以防止攻擊。 | AuditIfNotExists, Disabled | 1.0.0 |
雲端服務(外延支援)角色實例應該已安裝 Endpoint Protection 解決方案 | 藉由確保安裝端點保護解決方案,保護您的 雲端服務(外延支援)角色實例免受威脅和弱點的影響。 | AuditIfNotExists, Disabled | 1.0.0 |
雲端服務 (外延支援) 角色實例應該已安裝系統更新 | 藉由確保已安裝最新的安全性和重大更新,保護您的 雲端服務(外延支援)角色實例。 | AuditIfNotExists, Disabled | 1.0.0 |
設定在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器上啟用進階威脅防護 | 在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器上啟用進階威脅防護,以偵測異常活動,指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。 | DeployIfNotExists, Disabled | 1.1.0 |
設定已啟用 Arc 的 SQL Server 以自動安裝 Azure 監視器代理程式 | 在已啟用 Windows Arc 的 SQL Server 上自動部署 Azure 監視器代理程式擴充功能。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0 |
設定已啟用 Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender | 設定已啟用 Windows Arc 的 SQL Server 來自動安裝適用於 SQL 的 Microsoft Defender 代理程式。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 | DeployIfNotExists, Disabled | 1.2.0 |
設定已啟用 Arc 的 SQL Server,以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與機器相同的區域中建立資源群組、數據收集規則和Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.3.0 |
設定已啟用 Arc 的 SQL Server,以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與用戶定義的Log Analytics工作區相同的區域中建立資源群組和數據收集規則。 | DeployIfNotExists, Disabled | 1.4.0 |
設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 的數據收集規則關聯 | 設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷偵測此已啟用 Arc 之 SQL Server 的安全性弱點。 | DeployIfNotExists, Disabled | 1.1.0 |
設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 的數據收集規則關聯 | 設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷偵測此已啟用 Arc 之 SQL Server 的安全性弱點。 | DeployIfNotExists, Disabled | 1.2.0 |
設定要啟用之適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | DeployIfNotExists, Disabled | 1.0.1 |
設定要啟用的適用於 Azure SQL 資料庫的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | DeployIfNotExists, Disabled | 1.0.1 |
設定要啟用的適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
設定要啟用的適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | DeployIfNotExists, Disabled | 1.1.0 |
設定要啟用的適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | DeployIfNotExists, Disabled | 1.0.1 |
設定要啟用的適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | DeployIfNotExists, Disabled | 1.0.1 |
設定啟用 儲存體 的基本 Microsoft Defender(僅限活動監視) | 適用於 儲存體 的 Microsoft Defender 是 Azure 原生安全性情報層,可偵測記憶體帳戶的潛在威脅。 此原則會啟用適用於 儲存體 功能的基本 Defender(活動監視)。 若要啟用完整保護,其中也包含上傳惡意代碼掃描和敏感數據威脅偵測,請使用完整的啟用原則:aka.ms/DefenderFor儲存體 Policy。 若要深入瞭解適用於 儲存體 功能和權益的 Defender,請流覽 aka.ms/DefenderFor儲存體。 | DeployIfNotExists, Disabled | 1.1.0 |
設定計算機以接收弱點評估提供者 | Azure Defender 包含您機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權,甚至不需要 Qualys 帳戶 , 所有項目都會在資訊安全中心內順暢地處理。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝它的所有支持機器。 | DeployIfNotExists, Disabled | 4.0.0 |
設定 Microsoft Defender CSPM 方案 | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | DeployIfNotExists, Disabled | 1.0.0 |
設定要啟用的 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | DeployIfNotExists, Disabled | 1.0.2 |
設定要啟用的適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是 Azure 原生安全性層,可偵測嘗試利用 Azure Cosmos DB 帳戶中的資料庫。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵的身分識別或惡意測試人員來偵測資料庫的潛在 SQL 插入、已知的不良執行者。 | DeployIfNotExists, Disabled | 1.0.0 |
設定適用於容器的 Microsoft Defender 方案 | 新功能會持續新增至適用於容器的Defender方案,這可能需要使用者的明確啟用。 使用此原則可確保所有新功能都會啟用。 | DeployIfNotExists, Disabled | 1.0.0 |
設定要啟用的適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | DeployIfNotExists, Disabled | 1.0.1 |
使用 適用於雲端的 Microsoft Defender 設定 適用於端點的 Microsoft Defender 整合設定 (WDATP_EXCLUDE_LINUX...) | 在 適用於雲端的 Microsoft Defender 內設定 適用於端點的 Microsoft Defender 整合設定(也稱為WDATP_EXCLUDE_LINUX_...),以啟用Linux伺服器的 MDE 自動布建。 必須開啟 WDATP 設定,才能套用此設定。 如需詳細資訊,請參閱: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
使用 適用於雲端的 Microsoft Defender 設定 適用於端點的 Microsoft Defender 整合設定 (WDATP_UNIFIED_SOLUTION) | 在 適用於雲端的 Microsoft Defender 內設定 適用於端點的 Microsoft Defender 整合設定(也稱為WDATP_UNIFIED_SOLUTION),以啟用 Windows Server 2012R2 和 2016 的 MDE 整合代理程式自動布建。 必須開啟 WDATP 設定,才能套用此設定。 如需詳細資訊,請參閱: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
使用 適用於雲端的 Microsoft Defender 設定 適用於端點的 Microsoft Defender 整合設定 (WDATP) | 針對透過 MMA 上線到 MDE 的 Windows 下層電腦,在 適用於雲端的 Microsoft Defender 內設定 適用於端點的 Microsoft Defender 整合設定,以及在 Windows Server 2019、Windows 虛擬桌面和更新版本上自動布建 MDE。 必須開啟,才能讓其他設定(WDATP_UNIFIED等)能夠運作。 如需詳細資訊,請參閱: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
設定適用於 金鑰保存庫 方案的 Microsoft Defender | 適用於 金鑰保存庫 的 Microsoft Defender 藉由偵測存取或惡意探索密鑰保存庫帳戶的異常和潛在有害嘗試,提供額外的保護和安全性情報層。 | DeployIfNotExists, Disabled | 1.1.0 |
設定適用於伺服器的 Microsoft Defender 方案 | 新功能會持續新增至適用於伺服器的 Defender,這可能需要使用者的明確啟用。 使用此原則可確保所有新功能都會啟用。 | DeployIfNotExists, Disabled | 1.0.0 |
將適用於 SQL 的 Microsoft Defender 設定為在 Synapse 工作區上啟用 | 在您的 Azure Synapse 工作區上啟用適用於 SQL 的 Microsoft Defender,以偵測異常活動,指出存取或惡意探索 SQL 資料庫時發生異常且可能有害的嘗試。 | DeployIfNotExists, Disabled | 1.0.0 |
將適用於 儲存體 的 Microsoft Defender 設定為已啟用 | 適用於 儲存體 的 Microsoft Defender(傳統版)會偵測到存取或惡意探索記憶體帳戶的異常和潛在有害嘗試。 | DeployIfNotExists, Disabled | 1.0.2 |
將適用於 儲存體 的 Microsoft Defender 設定為啟用 | 適用於 儲存體 的 Microsoft Defender 是 Azure 原生安全性情報層,可偵測記憶體帳戶的潛在威脅。 此原則會啟用所有適用於 儲存體 功能的Defender;活動監視、惡意代碼掃描和敏感數據威脅偵測。 若要深入瞭解適用於 儲存體 功能和權益的 Defender,請流覽 aka.ms/DefenderFor儲存體。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 SQL 虛擬機器 自動安裝 Azure 監視器代理程式 | 在您的 Windows SQL 虛擬機器 上自動部署 Azure 監視器代理程式擴充功能。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0 |
設定 SQL 虛擬機器 自動安裝適用於 SQL 的 Microsoft Defender | 將 Windows SQL 虛擬機器 設定為自動安裝適用於 SQL 的 Microsoft Defender 擴充功能。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 | DeployIfNotExists, Disabled | 1.3.0 |
設定 SQL 虛擬機器 以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與機器相同的區域中建立資源群組、數據收集規則和Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.4.0 |
設定 SQL 虛擬機器,使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與用戶定義的Log Analytics工作區相同的區域中建立資源群組和數據收集規則。 | DeployIfNotExists, Disabled | 1.4.0 |
設定適用於 SQL Log Analytics 的 Microsoft Defender 工作區 | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與機器相同的區域中建立資源群組和Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.2.0 |
建立並指派內建使用者指派的受控識別 | 大規模建立並指派內建使用者指派的受控識別給SQL虛擬機。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
部署 -設定 Azure 資訊安全中心 警示的隱藏規則 | 隱藏 Azure 資訊安全中心 警示,藉由在管理群組或訂用帳戶上部署隱藏規則來降低警示疲勞。 | deployIfNotExists | 1.0.0 |
將匯出至事件中樞作為 適用於雲端的 Microsoft Defender 數據的信任服務 | 啟用導出至事件中樞作為 適用於雲端的 Microsoft Defender 數據的受信任服務。 此原則會將匯出至事件中樞作為受信任的服務組態,並將條件和目標事件中樞部署在指派範圍上。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,並建立補救工作。 | DeployIfNotExists, Disabled | 1.0.0 |
針對 適用於雲端的 Microsoft Defender 數據部署匯出至事件中樞 | 啟用匯出至 適用於雲端的 Microsoft Defender 數據的事件中樞。 此原則會部署導出至事件中樞組態,並在指派的範圍上設定您的條件和目標事件中樞。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,並建立補救工作。 | deployIfNotExists | 4.2.0 |
針對 適用於雲端的 Microsoft Defender 數據部署導出至 Log Analytics 工作區 | 啟用導出至 適用於雲端的 Microsoft Defender 數據的Log Analytics工作區。 此原則會部署導出至Log Analytics工作區組態,其中包含指派範圍上的條件和目標工作區。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,並建立補救工作。 | deployIfNotExists | 4.1.0 |
針對適用於雲端的 Microsoft Defender 警示來部署工作流程自動化 | 啟用 適用於雲端的 Microsoft Defender 警示的自動化。 此原則會在指派的範圍上,使用您的條件和觸發程式來部署工作流程自動化。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,並建立補救工作。 | deployIfNotExists | 5.0.1 |
針對適用於雲端的 Microsoft Defender 建議來部署工作流程自動化 | 啟用 適用於雲端的 Microsoft Defender 建議的自動化。 此原則會在指派的範圍上,使用您的條件和觸發程式來部署工作流程自動化。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,並建立補救工作。 | deployIfNotExists | 5.0.1 |
部署工作流程自動化以進行 適用於雲端的 Microsoft Defender 法規合規性 | 啟用 適用於雲端的 Microsoft Defender 法規合規性的自動化。 此原則會在指派的範圍上,使用您的條件和觸發程式來部署工作流程自動化。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,並建立補救工作。 | deployIfNotExists | 5.0.1 |
應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
在您的訂用帳戶上啟用 適用於雲端的 Microsoft Defender | 識別 適用於雲端的 Microsoft Defender 未監視的現有訂用帳戶,並使用 適用於雲端的 Defender的免費功能加以保護。 已監視的訂用帳戶會被視為符合規範。 若要註冊新建立的訂用帳戶,請開啟 [合規性] 索引卷標,選取相關的不符合規範的指派,然後建立補救工作。 | deployIfNotExists | 1.0.1 |
使用自訂工作區,讓資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式。 | 允許資訊安全中心在訂用帳戶上自動布建 Log Analytics 代理程式,以使用自定義工作區監視及收集安全性數據。 | DeployIfNotExists, Disabled | 1.0.0 |
使用預設工作區,讓資訊安全中心在您的訂用帳戶上自動佈建 Log Analytics 代理程式。 | 允許資訊安全中心在訂用帳戶上自動布建 Log Analytics 代理程式,以使用 ASC 預設工作區監視及收集安全性數據。 | DeployIfNotExists, Disabled | 1.0.0 |
應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
應在虛擬機器擴展集上安裝端點保護解決方案 | 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 | AuditIfNotExists, Disabled | 3.0.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.3 |
應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 將您的 Kubernetes 服務叢集升級為較新的 Kubernetes 版本,以防禦您目前 Kubernetes 版本中的已知弱點。 Kubernetes 版本 1.11.9 +、1.12.7+、1.13.5+ 及 1.14.0+ 中已修補弱點 CVE-2019-9946 | Audit, Disabled | 1.0.2 |
Log Analytics 代理程式應該安裝在您的 雲端服務 (擴充支援) 角色實例上 | 資訊安全中心會從 雲端服務(外延支援)角色實例收集數據,以監視安全性弱點和威脅。 | AuditIfNotExists, Disabled | 2.0.0 |
您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
電腦上應已解決發現的祕密 | 稽核虛擬機器,以從虛擬機器上的秘密掃描解決方案偵測其是否包含發現的祕密。 | AuditIfNotExists, Disabled | 1.0.2 |
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是 Azure 原生安全性層,可偵測嘗試利用 Azure Cosmos DB 帳戶中的資料庫。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵的身分識別或惡意測試人員來偵測資料庫的潛在 SQL 插入、已知的不良執行者。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
應為已啟用 Arc 的 SQL Servers 保護 Microsoft Defender for SQL 狀態 | 適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 啟用之後,保護狀態會指出資源已受到主動監視。 即使是已啟用 Defender 時,也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定,以確保主動保護。 | Audit, Disabled | 1.0.1 |
應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
應選取資訊安全中心標準定價層 | 標準定價層可針對網路和虛擬機啟用威脅偵測,並在 Azure 資訊安全中心 中提供威脅情報、異常偵測和行為分析 | Audit, Disabled | 1.1.0 |
設定要轉換至替代弱點評估解決方案的訂用帳戶 | 適用於雲端的 Microsoft Defender 提供您機器的弱點掃描,不需額外費用。 啟用此原則會導致 適用於雲端的 Defender 自動將結果從內建的 Microsoft Defender 弱點管理 解決方案傳播到所有支持的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 為了確保 SQL VM 和已啟用 Arc 的 SQL Server 受到保護,請確定以 SQL 為目標的 Azure 監視代理程式已設定為會自動部署。 如果您先前已設定 Microsoft Monitoring Agent 的自動佈建,因為該元件已被取代,因此必須要這麼做。 深入了解:https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
應在虛擬機器擴展集上安裝系統更新 | 稽核是否遺漏了任何應安裝的系統安全性更新和重大更新,以確保您的 Windows 及 Linux 虛擬機器擴展集安全無虞。 | AuditIfNotExists, Disabled | 3.0.0 |
您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
應補救容器安全性設定中的弱點 | 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
應修復虛擬機器擴展集上安全性組態的弱點 | 稽核虛擬機器擴展集上的 OS 弱點,以免其遭受攻擊。 | AuditIfNotExists, Disabled | 3.0.0 |
資訊安全中心 - 細微定價
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將適用於伺服器的 Azure Defender 設定為針對所有資源停用 (資源層級) | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則會針對所選範圍(訂用帳戶或資源群組)中的所有資源(VM、VMSS 和 ARC 機器)停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
將適用於伺服器的 Azure Defender 設定為停用具有所選標籤的資源 (資源層級) | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則將會針對具有所選標籤名稱和標籤的所有資源(VM、VMSS 和 ARC 機器)停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
將適用於伺服器的 Azure Defender 設定為針對所有資源 (資源層級) 啟用 [P1] 子計劃,並具有選取的標籤 | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則會針對具有所選標籤名稱和標籤的所有資源(VM和 ARC 計算機)啟用適用於伺服器的 Defender 方案(具有 'P1' 子計劃)。 | DeployIfNotExists, Disabled | 1.0.0 |
針對所有資源設定要啟用的適用於伺服器的 Azure Defender(具有 'P1' 子計劃)(資源層級) | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則將會針對所選範圍(訂用帳戶或資源群組)中的所有資源(VM 和 ARC 計算機)啟用適用於伺服器的 Defender 方案(具有 'P1' 子計劃)。 | DeployIfNotExists, Disabled | 1.0.0 |
服務匯流排
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
除了 RootManageSharedAccessKey 以外的所有授權規則,都應該從 服務匯流排 命名空間中移除 | 服務匯流排 客戶端不應該使用命名空間層級存取原則,以提供命名空間中所有佇列和主題的存取權。 若要配合最低許可權安全性模型,您應該在佇列和主題的實體層級建立存取原則,只提供特定實體的存取權 | Audit, Deny, Disabled | 1.0.1 |
Azure 服務匯流排 命名空間應停用本機驗證方法 | 停用本機驗證方法可確保 Azure 服務匯流排 命名空間完全需要 Microsoft Entra ID 身分識別進行驗證,藉此改善安全性。 深入了解:https://aka.ms/disablelocalauth-sb。 | Audit, Deny, Disabled | 1.0.1 |
Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure 服務匯流排 命名空間以停用本機驗證 | 停用本機驗證方法,讓您的 Azure ServiceBus 命名空間完全要求 Microsoft Entra ID 身分識別進行驗證。 深入了解:https://aka.ms/disablelocalauth-sb。 | 修改、停用 | 1.0.1 |
設定 服務匯流排 命名空間以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 服務匯流排 命名空間。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 服務匯流排 命名空間 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 服務匯流排 命名空間,您可以降低數據外泄風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
服務匯流排 命名空間應停用公用網路存取 | Azure 服務匯流排 應停用公用網路存取。 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點來限制資源的公開。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, Disabled | 1.1.0 |
服務匯流排 命名空間應該已啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 1.0.0 |
服務匯流排進階命名空間應使用客戶自控金鑰進行加密 | Azure 服務匯流排支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。 選擇使用客戶自控金鑰來加密資料,可讓您指派、輪替、停用及撤銷服務匯流排將用來加密命名空間中資料的金鑰存取權。 請注意,服務匯流排僅支援使用客戶自控金鑰來加密進階命名空間。 | Audit, Disabled | 1.0.0 |
Service Fabric
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
SignalR
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure SignalR Service 應停用公用網路存取 | 若要改善 Azure SignalR Service 資源的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/asrs/networkacls 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.1.0 |
Azure SignalR 服務應該啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
Azure SignalR Service 應停用本機驗證方法 | 停用本機驗證方法可確保 Azure SignalR Service 僅需要 Azure Active Directory 身分認證進行驗證,以提升安全性。 | Audit, Deny, Disabled | 1.0.0 |
Azure SignalR Service 應使用已啟用 Private Link 的 SKU | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地的公用 IP 位址,以保護資源免於公用資料外洩風險。 此原則會限制您將已啟用 Private Link 的 SKU 用於 Azure SignalR Service。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
設定 Azure SignalR Service 以停用本機驗證 | 停用本機驗證方法,讓 Azure SignalR Service 僅需要 Azure Active Directory 身分認證進行驗證。 | 修改、停用 | 1.0.0 |
設定 Azure SignalR Service 的私人端點 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至 Azure SignalR Service 資源,藉此降低資料洩漏風險。 請至https://aka.ms/asrs/privatelink,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 為連線到 Azure SignalR Service 的私人端點設定私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure SignalR Service 資源進行解析。 深入了解:https://aka.ms/asrs/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
修改 Azure SignalR Service 資源以停用公用網路存取 | 若要改善 Azure SignalR Service 資源的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/asrs/networkacls 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | 修改、停用 | 1.1.0 |
Site Recovery
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:設定 Azure 復原服務保存庫以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為復原服務保存庫。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:在 Azure 復原服務保存庫上設定私人端點 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至復原服務保存庫的月臺復原資源,您可以降低數據外泄風險。 若要使用私人連結,受控服務識別必須指派給復原服務保存庫。 深入了解私人連結:https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]: 復原服務保存庫應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure 復原服務保存庫,可降低數據外泄風險。 若要深入瞭解 Azure Site Recovery 的私人連結,請參閱: https://aka.ms/HybridScenarios-PrivateLink 和 https://aka.ms/AzureToAzure-PrivateLink。 | Audit, Disabled | 1.0.0-preview |
SQL
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應為 MySQL 伺服器佈建 Microsoft Entra 管理員 | 稽核 MySQL 伺服器的 Microsoft Entra 管理員佈建,以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.1.1 |
應為 PostgreSQL 伺服器佈建 Microsoft Entra 管理員 | 稽核 PostgreSQL 伺服器的 Microsoft Entra 管理員佈建,以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.1 |
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
Azure MySQL 彈性伺服器應已啟用僅限 Microsoft Entra 驗證 | 停用本機驗證方法並僅允許 Microsoft Entra 驗證,可藉由確保 Microsoft Entra 身分識別可以獨佔存取 Azure MySQL 彈性伺服器來改善安全性。 | AuditIfNotExists, Disabled | 1.0.1 |
Azure SQL Database 應執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | 稽核、停用、拒絕 | 2.0.0 |
Azure SQL Database 應已啟用僅限 Microsoft Entra 驗證 | 要求 Azure SQL 邏輯伺服器使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的伺服器。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.0.0 |
Azure SQL Database 應已在建立期間啟用僅限 Microsoft Entra 驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 邏輯伺服器。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.2.0 |
Azure SQL 受控執行個體應已啟用僅限 Microsoft Entra 驗證 | 要求 Azure SQL 受控執行個體使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的 Azure SQL 受控執行個體。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.0.0 |
Azure SQL 受控執行個體應停用公用網路存取 | 在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取,從而提升安全性。 若要深入了解公用網路存取,請瀏覽 https://aka.ms/mi-public-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
Azure SQL 受控執行個體應已在建立期間啟用僅限 Microsoft Entra 驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 受控執行個體。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.2.0 |
設定在適用於 MariaDB 伺服器的 Azure 資料庫上啟用進階威脅防護 | 在適用於 MariaDB 伺服器的非基本層 Azure 資料庫上啟用進階威脅防護,以偵測異常活動,指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。 | DeployIfNotExists, Disabled | 1.2.0 |
將進階威脅防護設定為在適用於 MySQL 的 Azure 資料庫伺服器上啟用 | 在適用於 MySQL 伺服器的非基本層 Azure 資料庫上啟用進階威脅防護,以偵測異常活動,指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。 | DeployIfNotExists, Disabled | 1.2.0 |
設定在適用於 PostgreSQL 伺服器的 Azure 資料庫上啟用進階威脅防護 | 在適用於 PostgreSQL 伺服器的非基本層 Azure 資料庫上啟用進階威脅防護,以偵測異常活動,指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。 | DeployIfNotExists, Disabled | 1.2.0 |
設定在 SQL 受控執行個體上啟用 Azure Defender | 在 Azure SQL 受控執行個體上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | DeployIfNotExists, Disabled | 2.0.0 |
設定在 SQL 伺服器上啟用 Azure Defender | 在 Azure SQL Server 上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | DeployIfNotExists | 2.1.0 |
將 Azure SQL 資料庫伺服器診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少稽核的 SQL Server 時,啟用 Azure SQL Database 伺服器的稽核記錄,並將此記錄串流至 Log Analytics 工作區 | DeployIfNotExists, Disabled | 1.0.2 |
設定 Azure SQL Server 以停用公用網路存取 | 停用公用網路存取屬性會關閉公用連線,因此只能從私人端點存取 Azure SQL Server。 此設定會停用 Azure SQL Server 下所有資料庫的公用網路存取。 | 修改、停用 | 1.0.0 |
設定 Azure SQL Server 以啟用私人端點連線 | 私人端點連線可透過虛擬網路內的私人 IP 位址,對 Azure SQL Database 啟用私人連線。 此設定可改善您的安全性態勢,並支援 Azure 網路工具和情節。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 SQL 伺服器以啟用稽核 | 為了確保擷取到針對您 SQL 資產所執行的作業,SQL 伺服器應已啟用稽核。 有時候必須如此才能符合法規標準。 | DeployIfNotExists, Disabled | 3.0.0 |
將 SQL Server 設定為已啟用 Log Analytics 工作區的稽核 | 為了確保擷取到針對您 SQL 資產所執行的作業,SQL 伺服器應已啟用稽核。 如果未啟用稽核,此原則會將稽核事件設定為流向指定的Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
應為 PostgreSQL 資料庫伺服器啟用 連線 節流 | 此原則可協助您稽核環境中的任何 PostgreSQL 資料庫,而不需要啟用 連線 節流。 此設定會針對無效的密碼登入失敗,為每個IP啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
部署 - 將 SQL Database 診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 SQL Database 時,將 SQL Database 的診斷設定部署至 Log Analytics 工作區的串流資源記錄。 | DeployIfNotExists, Disabled | 4.0.0 |
在 SQL 伺服器上部署進階資料安全性 | 此原則會在 SQL Server 上啟用進階資料安全性。 包括開啟威脅偵測和弱點評估。 此原則將自動在與 SQL server 相同的區域和資源群組中,建立前置詞為 'sqlva' 的儲存體帳戶,以儲存掃描結果。 | DeployIfNotExists | 1.3.0 |
將 Azure SQL Database 的診斷設定部署至事件中樞 | 針對 Azure SQL Database 部署診斷設定,以串流至所有缺少此診斷設定而建立或更新之 Azure SQL Database 上的區域事件中樞。 | DeployIfNotExists | 1.2.0 |
部署 SQL DB 透明資料加密 | 在 SQL 資料庫上啟用透明資料加密 | DeployIfNotExists, Disabled | 2.2.0 |
PostgreSQL 資料庫伺服器應該記錄中斷連線。 | 此原則可協助稽核環境中任何 PostgreSQL 資料庫,而未啟用log_disconnections。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 MySQL 的 Azure 資料庫伺服器啟用基礎結構加密 | 為適用於 MySQL 的 Azure 資料庫伺服器啟用基礎結構加密,讓資料有更高層級的安全保證。 啟用基礎結構加密時,待用資料會使用與 FIPS 140-2 相容的 Microsoft 管理金鑰進行兩次加密。 | Audit, Deny, Disabled | 1.0.0 |
應為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密 | 為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密,讓資料有更高層級的安全保證。 啟用基礎結構加密時,待用資料會使用與 FIPS 140-2 相容的 Microsoft 管理金鑰進行兩次加密 | Audit, Deny, Disabled | 1.0.0 |
應針對 PostgreSQL 資料庫伺服器啟用記錄檢查點 | 此原則可協助您稽核環境中的任何 PostgreSQL 資料庫,而未啟用log_checkpoints設定。 | AuditIfNotExists, Disabled | 1.0.0 |
應針對PostgreSQL資料庫伺服器啟用記錄連線 | 此原則可協助您稽核環境中的任何 PostgreSQL 資料庫,而未啟用log_connections設定。 | AuditIfNotExists, Disabled | 1.0.0 |
應針對 PostgreSQL 資料庫伺服器啟用記錄持續時間 | 此原則可協助您稽核環境中的任何 PostgreSQL 資料庫,而未啟用log_duration設定。 | AuditIfNotExists, Disabled | 1.0.0 |
應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
MariaDB 伺服器應使用虛擬網路服務端點 | 虛擬網路型防火牆規則可用來啟用從特定子網到 適用於 MariaDB 的 Azure 資料庫 的流量,同時確保流量會保留在 Azure 界限內。 此原則提供一種方式來稽核 適用於 MariaDB 的 Azure 資料庫 是否使用虛擬網路服務端點。 | AuditIfNotExists, Disabled | 1.0.2 |
MariaDB 伺服器應使用虛擬網路服務端點 | 虛擬網路型防火牆規則可用來啟用從特定子網到 適用於 MySQL 的 Azure 資料庫 的流量,同時確保流量會保留在 Azure 界限內。 此原則提供一種方式來稽核 適用於 MySQL 的 Azure 資料庫 是否使用虛擬網路服務端點。 | AuditIfNotExists, Disabled | 1.0.2 |
MySQL 伺服器應使用客戶自控金鑰為待用資料加密 | 使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
PostgreSQL 伺服器應使用虛擬網路服務端點 | 虛擬網路型防火牆規則可用來啟用從特定子網到 適用於 PostgreSQL 的 Azure 資料庫 的流量,同時確保流量會保留在 Azure 界限內。 此原則提供一種方式來稽核 適用於 PostgreSQL 的 Azure 資料庫 是否使用虛擬網路服務端點。 | AuditIfNotExists, Disabled | 1.0.2 |
PostgreSQL 伺服器應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
MariaDB 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 MariaDB 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
MySQL 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 MySQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
PostgreSQL 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
應為 MariaDB 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MariaDB 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.0 |
應為 MySQL 彈性伺服器停用公用網路存取 | 停用公用網路存取屬性可確保您的 適用於 MySQL 的 Azure 資料庫 彈性伺服器只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用來自 Azure IP 範圍以外任何公用位址空間的存取,並拒絕符合 IP 或虛擬網路型防火牆規則的所有登入。 | Audit, Deny, Disabled | 2.1.0 |
應為 MySQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.0 |
PostgreSQL 彈性伺服器應停用公用網路存取 | 停用公用網路存取屬性可確保您的 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用來自 Azure IP 範圍以外任何公用位址空間的存取,並拒絕符合 IP 或虛擬網路型防火牆規則的所有登入。 | Audit, Deny, Disabled | 3.0.1 |
應為 PostgreSQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.1 |
SQL 審核設定應已設定動作群組來擷取重要活動 | AuditActionsAndGroups 屬性至少應包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP,才可確保完整記錄稽核 | AuditIfNotExists, Disabled | 1.0.0 |
SQL Database 應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,資料庫應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
SQL 受控執行個體的最低 TLS 版本應為 1.2 | 將最低的 TLS 版本設定為 1.2,可確保您的 SQL 受控執行個體只能從使用 TLS 1.2 的用戶端存取,進而提升安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | Audit, Disabled | 1.0.1 |
SQL 受控執行個體應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,受控執行個體應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
應對 Azure SQL Database 啟用虛擬網路防火牆規則,允許來自指定子網路的流量 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入 Azure SQL Database,同時確保流量會保持在 Azure 界限內。 | AuditIfNotExists | 1.0.0 |
應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評估的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
SQL 受控執行個體
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
客戶管理的金鑰加密必須作為 Arc SQL 受控實例 CMK 加密的一部分。 | 作為 CMK 加密的一部分,必須使用客戶管理的金鑰加密。 深入了解:https://aka.ms/EnableTDEArcSQLMI。 | Audit, Disabled | 1.0.0 |
TLS 通訊協定 1.2 必須用於 Arc SQL 受控實例。 | 在網路設定中,Microsoft 建議只允許 SQL Server 中的 TLS 通訊協定使用 TLS 1.2。 在深入瞭解 SQL Server https://aka.ms/TlsSettingsSQLServer的網路設定。 | Audit, Disabled | 1.0.0 |
必須針對 Arc SQL 受控實例啟用 透明資料加密。 | 在已啟用 Azure Arc 的 SQL 受管理執行個體 上啟用透明數據加密 (TDE) 待用。 深入了解:https://aka.ms/EnableTDEArcSQLMI。 | Audit, Disabled | 1.0.0 |
SQL Server
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:將系統指派的身分識別啟用至 SQL VM | 對 SQL 虛擬機大規模啟用系統指派的身分識別。 您必須在訂用帳戶層級指派此原則。 在資源群組層級指派無法如預期般運作。 | DeployIfNotExists, Disabled | 1.0.0-preview |
設定已啟用 Arc 的伺服器,並安裝 SQL Server 擴充功能,以啟用或停用 SQL 最佳做法評估。 | 啟用或停用已啟用 Arc 之伺服器上 SQL Server 實例上的 SQL 最佳做法評估,以評估最佳做法。 請至https://aka.ms/azureArcBestPracticesAssessment,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.0.1 |
將已啟用 Arc 的 SQL Server 實例訂閱到擴充安全性 更新。 | 訂閱合格已啟用 Arc 的 SQL Server 實例,並將 [授權類型] 設定為 [付費] 或 [PAYG] 設定為 [擴充安全性 更新]。 如需延伸安全性更新 https://go.microsoft.com/fwlink/?linkid=2239401的詳細資訊。 | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure Stack HCI 伺服器應該一致地強制執行應用程式控制原則 | 至少請在所有 Azure Stack HCI 伺服器上,以強制模式套用 Microsoft WDAC 基底原則。 套用的 Windows Defender 應用程式控制 (WDAC) 原則必須在相同叢集中的所有伺服器之間保持一致。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
[預覽]:Azure Stack HCI 伺服器應符合安全核心需求 | 確定所有 Azure Stack HCI 伺服器都符合安全核心需求。 若要啟用安全核心伺服器需求:1. 從 [Azure Stack HCI 叢集] 頁面,移至 [Windows Admin Center],然後選取 [連線]。 2. 移至 [安全性延伸模組],然後選取 [安全核心]。 3. 選取未啟用的任何設定,然後按一下 [啟用]。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
[預覽]:Azure Stack HCI 系統應具有加密磁碟區 | 使用 BitLocker 來加密 Azure Stack HCI 系統上的 OS 和資料磁碟區。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
[預覽]:應在 Azure Stack HCI 系統上保護主機和 VM 網路 | 保護 Azure Stack HCI 主機網路上的資料和虛擬機器網路連線上的資料。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
儲存體
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應禁止儲存體帳戶公用存取 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 3.1.0-preview |
Azure 檔案同步應使用私人連結 | 為指定的儲存體同步服務資源建立私人端點,可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源,而非透過網際網路存取的公用端點。 建立私人端點並不會停用公用端點。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure NetApp Files SMB 磁碟區應該使用 SMB3 加密 | 不允許在沒有SMB3加密的情況下建立SMB磁碟區,以確保數據完整性和數據隱私權。 | Audit, Deny, Disabled | 1.0.0 |
NFSv4.1 類型的 Azure NetApp Files 磁碟區應該使用 Kerberos 數據加密 | 只允許使用 Kerberos 隱私權 (5p) 安全性模式,以確保數據已加密。 | Audit, Deny, Disabled | 1.0.0 |
NFSv4.1 類型的 Azure NetApp Files 磁碟區應該使用 Kerberos 數據完整性或數據隱私權 | 請確定至少已選取 Kerberos 完整性 (krb5i) 或 Kerberos 隱私權 (krb5p),以確保數據完整性和數據隱私權。 | Audit, Deny, Disabled | 1.0.0 |
Azure NetApp Files 磁碟區不應該使用 NFSv3 通訊協定類型 | 不允許使用 NFSv3 通訊協定類型,以防止對磁碟區的不安全存取。 使用 Kerberos 通訊協定的 NFSv4.1 應該用來存取 NFS 磁碟區,以確保數據完整性和加密。 | Audit, Deny, Disabled | 1.0.0 |
設定 Blob groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 Blob groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 blob_secondary groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 blob_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 dfs groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 dfs groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 dfs_secondary groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 dfs_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定檔案 groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫檔案 groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定佇列 groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫佇列 groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 queue_secondary groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 queue_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定數據表 groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫數據表 groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 table_secondary groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 table_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Web groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 Web groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 web_secondary groupID 的私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 web_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 檔案同步 以使用私人 DNS 區域 | 若要從已註冊的伺服器存取 儲存體 Sync Service 資源介面的私人端點,您必須設定 DNS,將正確的名稱解析為私人端點的私人 IP 位址。 此原則會為 儲存體 Sync Service 私人端點的介面建立必要的 Azure 私用 DNS 區域和 A 記錄。 | DeployIfNotExists, Disabled | 1.1.0 |
使用私人端點設定 Azure 檔案同步 | 已針對指定的 儲存體 Sync Service 資源部署私人端點。 這可讓您從組織網路的私人IP位址空間內,而不是透過因特網可存取的公用端點,解決您的 儲存體 同步服務資源。 本身存在一或多個私人端點並不會停用公用端點。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Blob 服務的診斷設定設定設定為 Log Analytics 工作區 | 部署 Blob 服務的診斷設定,以在建立或更新遺漏此診斷設定的任何 Blob 服務時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
將檔案服務的診斷設定設定設定為 Log Analytics 工作區 | 部署檔案服務的診斷設定,以在建立或更新遺漏此診斷設定的任何檔案服務時,將資源記錄串流至Log Analytics工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
將佇列服務設定為 Log Analytics 工作區的診斷設定 | 部署佇列服務的診斷設定,以在建立或更新遺漏此診斷設定的任何佇列服務時,將資源記錄串流至 Log Analytics 工作區。 注意:此原則不會在建立帳戶時 儲存體 觸發,而且需要建立補救工作才能更新帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
將 儲存體 帳戶的診斷設定設定設定為 Log Analytics 工作區 | 部署 儲存體 帳戶的診斷設定,以在建立或更新遺漏此診斷設定的任何記憶體帳戶時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.0 |
設定數據表服務至Log Analytics工作區的診斷設定 | 部署數據表服務的診斷設定,以在建立或更新遺漏此診斷設定的任何數據表服務時,將資源記錄串流至Log Analytics工作區。 注意:此原則不會在建立 儲存體 帳戶時觸發,而且需要建立補救工作才能更新帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 4.0.1 |
在記憶體帳戶上設定安全數據傳輸 | 安全傳輸是一個選項,可強制記憶體帳戶只接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | 修改、停用 | 1.0.0 |
設定 儲存體 帳戶以使用私人連結連線 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至記憶體帳戶,您可以降低數據外泄風險。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
設定記憶體帳戶以停用公用網路存取 | 若要改善 儲存體 帳戶的安全性,請確定它們不會公開至公用因特網,而且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/storageaccountpublicnetworkaccess 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | 修改、停用 | 1.0.1 |
將 儲存體 帳戶公用存取設定為不允許 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 修改、停用 | 1.0.0 |
設定您的 儲存體 帳戶以啟用 Blob 版本控制 | 您可以啟用 Blob 儲存體版本設定,以自動維護舊版的物件。 啟用 Blob 版本設定時,您可以存取舊版的 Blob,以在資料遭到修改或刪除時復原資料。 | Audit, Deny, Disabled | 1.0.0 |
在記憶體帳戶上部署適用於 儲存體 的 Defender (傳統版) | 此原則會在記憶體帳戶上啟用適用於 儲存體的Defender(傳統版)。 | DeployIfNotExists, Disabled | 1.0.1 |
應為儲存體帳戶啟用異地備援儲存體 | 使用異地備援、建立高可用性的應用程式 | Audit, Disabled | 1.0.0 |
HPC Cache 帳戶應使用客戶自控金鑰加密 | 使用客戶自控金鑰管理 Azure HPC Cache 待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | 稽核、停用、拒絕 | 2.0.0 |
修改 - 設定 Azure 檔案同步 以停用公用網路存取 | 組織原則會停用 Azure 檔案同步 可存取因特網的公用端點。 您仍然可以透過其私人端點存取 儲存體 同步服務。 | 修改、停用 | 1.0.0 |
修改 - 設定您的 儲存體 帳戶以啟用 Blob 版本控制 | 您可以啟用 Blob 儲存體版本設定,以自動維護舊版的物件。 啟用 Blob 版本設定時,您可以存取舊版的 Blob,以在資料遭到修改或刪除時復原資料。 請注意,不會修改現有的記憶體帳戶來啟用 Blob 記憶體版本控制。 只有新建立的記憶體帳戶會啟用 Blob 記憶體版本控制 | 修改、停用 | 1.0.0 |
應針對 Azure 檔案同步 停用公用網路存取 | 停用公用端點可讓您將存取 儲存體 Sync Service 資源限制為目的地為貴組織網路上已核准私人端點的要求。 不過,不允許對公用端點的要求固有不安全,不過,您可能想要將其停用以符合法規、法律或組織原則需求。 您可以將資源的傳入TrafficPolicy 設定為AllowVirtualNetworksOnly,以停用 儲存體 同步服務的公用端點。 | Audit, Deny, Disabled | 1.0.0 |
佇列 儲存體 應使用客戶管理的金鑰進行加密 | 使用客戶管理的金鑰,以更大的彈性保護您的佇列記憶體。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Deny, Disabled | 1.0.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
儲存體帳戶加密範圍應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來管理儲存體帳戶加密範圍的待用加密。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 若要深入了解儲存體帳戶加密範圍,請參閱https://aka.ms/encryption-scopes-overview。 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶加密範圍應針對待用數據使用雙重加密 | 為記憶體帳戶加密範圍的其餘部分啟用基礎結構加密,以增加安全性。 基礎結構加密可確保您的數據已加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶金鑰不應過期 | 確定設定金鑰到期原則時不會過期使用者記憶體帳戶密鑰,藉由在密鑰到期時採取動作來改善帳戶密鑰的安全性。 | Audit, Deny, Disabled | 3.0.0 |
儲存體 帳戶應允許從受信任的 Microsoft 服務 存取 | 某些與記憶體帳戶互動的 Microsoft 服務 會從無法透過網路規則授與存取權的網路運作。 為了協助這種類型的服務如預期般運作,允許一組受信任的 Microsoft 服務 略過網路規則。 這些服務接著會使用強身份驗證來存取記憶體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶應受限於允許的 SKU | 限制組織可部署的記憶體帳戶 SKU 集合。 | Audit, Deny, Disabled | 1.1.0 |
儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶應停用公用網路存取 | 若要改善 儲存體 帳戶的安全性,請確定它們不會公開至公用因特網,而且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/storageaccountpublicnetworkaccess 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.1 |
儲存體帳戶應具有基礎結構加密 | 啟用基礎結構加密,以取得資料安全的更高層級保證。 啟用基礎結構加密時,儲存體帳戶中的資料會加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶應已設定共用存取簽章 (SAS) 原則 | 確定記憶體帳戶已啟用共用存取簽章 (SAS) 到期原則。 使用者會使用 SAS 來委派 Azure 儲存體 帳戶中資源的存取權。 而當使用者建立 SAS 令牌時,SAS 到期原則建議上限。 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶應具有指定的最低 TLS 版本 | 設定最低 TLS 版本,以在用戶端應用程式與記憶體帳戶之間進行安全通訊。 為了將安全性風險降到最低,建議的最低 TLS 版本是最新版本,目前為 TLS 1.2。 | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶應該防止跨租用戶物件複寫 | 稽核記憶體帳戶的物件複寫限制。 根據預設,使用者可以使用一個 Azure AD 租使用者中的來源記憶體帳戶和不同租使用者中的目的地帳戶來設定物件複寫。 這是安全性考慮,因為客戶的數據可以復寫到客戶所擁有的記憶體帳戶。 藉由將allowCrossTenantReplication 設定為 false,只有在來源和目的地帳戶都位於相同的 Azure AD 租使用者中時,才能設定對象複寫。 | Audit, Deny, Disabled | 1.0.0 |
儲存體帳戶應防止共用金鑰存取 | Azure Active Directory (Azure AD) 進行必要條件審核,以授權儲存體帳戶的要求。 根據預設,您可以使用 Azure Active Directory 認證或使用共用金鑰授權的帳戶存取金鑰來授權要求。 在這兩種類型的授權中,Microsoft 建議使用 Azure AD,因為其可透過共用金鑰提供更優異的安全性和易用性。 | Audit, Deny, Disabled | 2.0.0 |
儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
數據表 儲存體 應使用客戶管理的金鑰進行加密 | 使用客戶管理的金鑰,以更大的彈性保護您的資料表記憶體。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Deny, Disabled | 1.0.0 |
串流分析
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 串流分析作業應使用客戶自控金鑰來加密資料 | 要將串流分析作業的任何中繼資料和私人資料資產安全地儲存在儲存體帳戶中時,請使用客戶自控金鑰。 這可讓您完全控管串流分析資料的加密方式。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
串流分析作業應該連線到受信任的輸入和輸出 | 請確定串流分析作業沒有在允許清單中未定義的任意輸入或輸出連線。 這會藉由連線到組織外部的任意接收,檢查串流分析作業不會外泄數據。 | 拒絕、停用、稽核 | 1.1.0 |
串流分析作業應該使用受控識別來驗證端點 | 確定串流分析作業只會使用受控識別驗證連線到端點。 | 拒絕、停用、稽核 | 1.0.0 |
Synapse
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用 Synapse 工作區的稽核 | 應啟用 Synapse 工作區的稽核,以追蹤專用 SQL 集區上所有資料庫的資料庫活動,並將其儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Synapse Analytics 專用 SQL 集區應該啟用加密 | 為 Azure Synapse Analytics 專用 SQL 集區啟用透明數據加密,以保護待用數據並符合合規性需求。 請注意,為集區啟用透明數據加密可能會影響查詢效能。 更多詳細數據可以參考 https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Synapse 工作區 SQL Server 應該執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,藉由確保您的 Azure Synapse 工作區 SQL Server 只能從使用 TLS 1.2 或更新版本的用戶端存取,藉此改善安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | Audit, Deny, Disabled | 1.1.0 |
Azure Synapse 工作區應該只允許輸出數據流量進入已核准的目標 | 藉由只允許輸出數據流量到已核准的目標,提高 Synapse 工作區的安全性。 這有助於在傳送數據之前先驗證目標,防止數據外洩。 | 稽核、停用、拒絕 | 1.0.0 |
Azure Synapse 工作區應停用公用網路存取 | 停用公用網路存取可藉由確保 Synapse 工作區不會公開在公用因特網上來改善安全性。 建立私人端點可以限制 Synapse 工作區的曝光。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | Audit, Deny, Disabled | 1.0.0 |
Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來控制 Azure Synapse 工作區中所儲存資料的待用加密。 客戶管理的金鑰會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Deny, Disabled | 1.0.0 |
Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
設定 Azure Synapse 工作區專用 SQL 最低 TLS 版本 | 針對新的 Synapse 工作區或現有的工作區,客戶可以使用 API 來提高或降低最低 TLS 版本。 因此,需要在工作區中使用較低用戶端版本的使用者可以連線,而具有安全性需求的使用者可以提高最低 TLS 版本。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | 修改、停用 | 1.1.0 |
設定 Azure Synapse 工作區以停用公用網路存取 | 停用 Synapse 工作區的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | 修改、停用 | 1.0.0 |
設定 Azure Synapse 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析至 Azure Synapse 工作區。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint。 | DeployIfNotExists, Disabled | 2.0.0 |
使用私人端點設定 Azure Synapse 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Synapse 工作區,您可以降低數據外泄風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Synapse 工作區以啟用稽核 | 為了確保已擷取對 SQL 資產執行的作業,Synapse 工作區應該已啟用稽核。 有時候必須如此才能符合法規標準。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Synapse 工作區設定為已啟用 Log Analytics 工作區的稽核 | 為了確保已擷取對 SQL 資產執行的作業,Synapse 工作區應該已啟用稽核。 如果未啟用稽核,此原則會將稽核事件設定為流向指定的Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Synapse 工作區設定為只使用 Microsoft Entra 身分識別進行驗證 | 需要並重新設定 Synapse 工作區,以使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的工作區。 它確實會封鎖本機驗證啟用,並在建立之後重新啟用資源上的僅限 Microsoft Entra 驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | 修改、停用 | 1.0.0 |
將 Synapse 工作區設定為只在工作區建立期間使用 Microsoft Entra 身分識別進行驗證 | 需要並重新設定 Synapse 工作區,以使用僅限 Microsoft Entra 驗證來建立。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | 修改、停用 | 1.2.0 |
應移除 Azure Synapse 工作區上的 IP 防火牆規則 | 拿掉所有IP防火牆規則可確保 Azure Synapse 工作區只能從私人端點存取,藉此改善安全性。 此設定會稽核建立允許工作區上公用網路存取的防火牆規則。 | Audit, Disabled | 1.0.0 |
應在 Azure Synapse 工作區上啟用受控工作區虛擬網路 | 啟用受控工作區虛擬網路可確保您的工作區與其他工作區隔離網路。 此虛擬網路中部署的數據整合和Spark資源也提供Spark活動的用戶層級隔離。 | Audit, Deny, Disabled | 1.0.0 |
Synapse 受控私人端點應該只連線到已核准 Azure Active Directory 租使用者中的資源 | 只允許連線到已核准 Azure Active Directory (Azure AD) 租使用者中的資源,以保護 Synapse 工作區。 核准的 Azure AD 租用戶可以在原則指派期間定義。 | 稽核、停用、拒絕 | 1.0.0 |
Synapse 工作區稽核設定應該已設定動作群組來擷取重要活動 | 為了確保稽核記錄盡可能徹底,AuditActionsAndGroups 屬性應該包含所有相關群組。 建議您至少新增SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP和BATCH_COMPLETED_GROUP。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 1.0.0 |
Synapse 工作區應已啟用僅限 Microsoft Entra 驗證 | 要求 Synapse 工作區使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的工作區。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | Audit, Deny, Disabled | 1.0.0 |
Synapse 工作區應在工作區建立期間只使用 Microsoft Entra 身分識別進行驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Synapse 工作區。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | Audit, Deny, Disabled | 1.2.0 |
使用 SQL 稽核至記憶體帳戶目的地的 Synapse 工作區應設定為保留 90 天或更新版本 | 為了進行事件調查,我們建議將 Synapse 工作區 SQL 稽核的數據保留期設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 2.0.0 |
應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
系統原則
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許的資源部署區域 | 此原則會維護一組最佳可用區域,讓訂用帳戶可以部署資源。 此原則的目標是確保您的訂用帳戶具有最佳效能的 Azure 服務完整存取權。 如果您需要其他或不同的區域,請連絡支持人員。 | 拒絕 | 1.0.0 |
標籤
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將標籤新增至資源群組 | 建立或更新遺漏此標籤的任何資源群組時,新增指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如果標記存在具有不同值,則不會變更。 | 修改 | 1.0.0 |
將標籤新增至資源 | 在建立或更新遺漏此標籤的任何資源時,加入指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源。 如果標記存在具有不同值,則不會變更。 資源群組上的標記不會修改。 | 修改 | 1.0.0 |
將標籤新增至訂用帳戶 | 透過補救工作將指定的標籤和值新增至訂用帳戶。 如果標記存在具有不同值,則不會變更。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation 。 | 修改 | 1.0.0 |
在資源群組上新增或取代標記 | 在建立或更新任何資源群組時,加入或取代指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源群組。 | 修改 | 1.0.0 |
在資源上新增或取代標記 | 在建立或更新任何資源時,加入或取代指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源。 資源群組上的標記不會修改。 | 修改 | 1.0.0 |
在訂用帳戶上新增或取代標記 | 透過補救工作,在訂用帳戶上新增或取代指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation 。 | 修改 | 1.0.0 |
從資源群組附加標記及其值 | 在建立或更新遺漏此標籤的任何資源時,附加指定標籤與資源群組的值。 在變更這些資源之前,請勿修改在此原則套用之前建立的資源標籤。 新的「修改」效果原則可支援對現有資源進行標籤補救(請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
將標記及其值附加至資源群組 | 建立或更新遺漏此標籤的任何資源群組時,附加指定的標籤和值。 在變更這些資源群組之前,請勿修改在此原則套用之前所建立的資源群組標籤。 新的「修改」效果原則可支援對現有資源進行標籤補救(請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
將標記及其值附加至資源 | 建立或更新遺漏此標籤的任何資源時,附加指定的標記和值。 在變更這些資源之前,請勿修改在此原則套用之前建立的資源標籤。 不適用於資源群組。 新的「修改」效果原則可支援對現有資源進行標籤補救(請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.1 |
從資源群組繼承標記 | 在建立或更新任何資源時,從父資源群組新增或取代指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源。 | 修改 | 1.0.0 |
從資源群組繼承標籤 (若遺漏) | 在建立或更新遺漏此標籤的任何資源時,從父資源群組新增具有其值的指定標籤。 您可以藉由觸發補救工作來補救現有的資源。 如果標記存在具有不同值,則不會變更。 | 修改 | 1.0.0 |
從訂用帳戶繼承標記 | 在建立或更新任何資源時,從包含的訂用帳戶新增或取代指定的標記和值。 您可以藉由觸發補救工作來補救現有的資源。 | 修改 | 1.0.0 |
如果遺失,請從訂用帳戶繼承標籤 | 在建立或更新遺漏此標籤的任何資源時,從包含的訂用帳戶新增具有其值的指定標籤。 您可以藉由觸發補救工作來補救現有的資源。 如果標記存在具有不同值,則不會變更。 | 修改 | 1.0.0 |
在資源群組上需要標記及其值 | 在資源群組上強制執行必要的標記及其值。 | 拒絕 | 1.0.0 |
在資源上需要標記及其值 | 強制必要標籤和其值。 不適用於資源群組。 | 拒絕 | 1.0.1 |
需要資源群組上的標籤 | 強制在資源群組上存在標記。 | 拒絕 | 1.0.0 |
需要資源上的標籤 | 強制標記存在。 不適用於資源群組。 | 拒絕 | 1.0.1 |
需要資源沒有特定的標籤。 | 拒絕建立包含指定標籤的資源。 不適用於資源群組。 | Audit, Deny, Disabled | 2.0.0 |
VirtualEnclaves
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將 儲存體 帳戶設定為僅透過網路 ACL 略過設定來限制網路存取。 | 若要改善 儲存體 帳戶的安全性,請僅透過網路 ACL 略過啟用存取。 此原則應與私人端點搭配使用,以存取記憶體帳戶。 | 修改、停用 | 1.0.0 |
不允許在allowlist外部建立資源類型 | 此原則可防止在明確允許的類型之外部署資源類型,以維護虛擬記憶體保護區的安全性。 https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
不允許在特定提供者下建立指定的資源類型或類型 | 在未經安全性小組明確核准的情況下,不允許建立透過參數清單指定的資源提供者和類型。 如果將豁免授與原則指派,則可以在記憶體保護區內利用資源。 https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
網路介面應連線至已核准虛擬網路的已核准子網 | 此原則會封鎖網路介面連線到未核准的虛擬網路或子網。 https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
儲存體 帳戶應僅透過網路 ACL 略過設定來限制網路存取。 | 若要改善 儲存體 帳戶的安全性,請僅透過網路 ACL 略過啟用存取。 此原則應與私人端點搭配使用,以存取記憶體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
VM Image Builder
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
VM 映像產生器範本應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 VM Image Builder 建置資源,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 稽核、停用、拒絕 | 1.1.0 |
Web PubSub
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Web PubSub 服務應停用公用網路存取 | 停用公用網路存取可藉由確保 Azure Web PubSub 服務不會公開在公用因特網上來改善安全性。 建立私人端點可以限制 Azure Web PubSub 服務的曝光。 深入了解:https://aka.ms/awps/networkacls。 | Audit, Deny, Disabled | 1.0.0 |
Azure Web PubSub 服務應啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Web PubSub 服務應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Web PubSub Service 完全要求 Azure Active Directory 身分識別進行驗證,藉以改善安全性。 | Audit, Deny, Disabled | 1.0.0 |
Azure Web PubSub 服務應該使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Web PubSub 服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
Azure Web PubSub 服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure Web PubSub 服務,就可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | Audit, Disabled | 1.0.0 |
設定 Azure Web PubSub 服務以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Web PubSub 服務完全需要 Azure Active Directory 身分識別進行驗證。 | 修改、停用 | 1.0.0 |
設定 Azure Web PubSub 服務以停用公用網路存取 | 停用 Azure Web PubSub 資源的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/awps/networkacls。 | 修改、停用 | 1.0.0 |
設定 Azure Web PubSub 服務以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure Web PubSub 服務。 深入了解:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure Web PubSub 服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Web PubSub 服務,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。