Azure 原則的內建原則定義
本頁面是 Azure 原則內建原則定義的索引。
Azure 入口網站中原則定義的每個內建連結名稱。 使用 [來源] 資料行中的連結查看 Azure 原則 GitHub 存放庫上的來源。 內建方案會依照中繼資料中的類別屬性來分組。 若要移至特定類別,請使用 Ctrl-F 來取得瀏覽器的搜尋功能。
API for FHIR
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure API for FHIR 應使用客戶自控金鑰為待用資料加密 | 若需要符合法規或合規性需求,請使用客戶管理的金鑰來控制 Azure API for FHIR 中儲存的待用資料加密。 客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | 稽核、稽核、停用、停用 | 1.1.0 |
Azure API for FHIR 應該使用私人連結 | Azure API for FHIR 應該至少有一個已核准的私人端點連結。 虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。 如需詳細資訊,請瀏覽:https://aka.ms/fhir-privatelink。 | Audit, Disabled | 1.0.0 |
CORS 不應允許每個網域存取您的 API for FHIR | 跨原始資源共用 (CORS) 不應允許所有網域存取適用於 FHIR 的 API。 若要保護您適用於 FHIR 的 API,請移除所有網域的存取權,並明確定義允許連線的網域。 | 稽核、稽核、停用、停用 | 1.1.0 |
API 管理
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
APIM API 應一律只使用加密通訊協定 | 為了確保傳輸中資料的安全性,API 應該只能透過 HTTPS 或 WSS 等加密通訊協定來使用。 請避免使用不安全的通訊協定,例如 HTTP 或 WS。 | 稽核、停用、拒絕 | 2.0.2 |
應驗證 APIM 對 API 後端的呼叫 | 從 API 管理到後端的呼叫應該使用某種驗證形式,無論是透過憑證或認證。 不適用於 Service Fabric 後端。 | 稽核、停用、拒絕 | 1.0.1 |
APIM 呼叫 API 後端時,不應略過憑證指紋或名稱驗證 | 為了改善 API 安全性,APIM 應該驗證所有 API 呼叫的後端伺服器憑證。 啟用 SSL 憑證指紋和名稱驗證。 | 稽核、停用、拒絕 | 1.0.2 |
不應啟用 APIM 直接管理端點 | Azure APIM 中的直接管理 REST API 會略過 Azure Resource Manager 角色型存取控制、授權和節流機制,進而增加服務的弱點。 | 稽核、停用、拒絕 | 1.0.2 |
APIM 的最低 API 版本應設定為 2019-12-01 或更新版本 | 若要防止與唯讀使用者共用服務密碼,最低 API 版本應設定為 2019-12-01 或更新版本。 | Audit, Deny, Disabled | 1.0.1 |
APIM 祕密的具名值應儲存在 Azure Key Vault 中 | 具名值是每個 APIM 服務中的「名稱-值」組集合。 祕密值可以儲存為 APIM 中的加密文字 (自訂祕密),或藉由參考 Azure Key Vault 中的祕密來儲存。 若要改善 APIM 和祕密的安全性,請從 Azure Key Vault 參考祕密的具名值。 Azure Key Vault 支援細微的存取管理和祕密輪替原則。 | 稽核、停用、拒絕 | 1.0.2 |
API 管理服務應該使用支援虛擬網路的 SKU | 透過 API 管理支援的 SKU,將服務部署至虛擬網路可釋出 API 管理的進階網路及安全性功能,讓您有更大能力控制網路安全性設定。 深入了解:https://aka.ms/apimvnet。 | Audit, Deny, Disabled | 1.0.0 |
API 管理服務應使用虛擬網路 | Azure 虛擬網路部署提供增強的安全性、隔離,並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站與 API 閘道,可設定為從網際網路存取或只從虛擬網路內存取。 | Audit, Deny, Disabled | 1.0.2 |
APIM 應停用服務組態端點的公用網路存取 | 若要改善 APIM 服務的安全性,請限制服務組態端點 (例如直接存取管理 API)、Git 組態管理端點或自我裝載閘道組態端點的連線能力。 | AuditIfNotExists, Disabled | 1.0.1 |
APIM 應停用使用者名稱和密碼驗證 | 若要更佳地保護開發人員入口網站,應停用 APIM 中的使用者名稱和密碼驗證。 透過 Azure AD 或 Azure AD B2C 識別提供者設定使用者驗證,並停用預設的使用者名稱和密碼驗證。 | Audit, Disabled | 1.0.1 |
APIM 訂用帳戶不應將範圍設定為所有 API | APIM 訂用帳戶的範圍應設定為產品或個別 API,而不是所有 API,否則可能會導致資料過度暴露。 | 稽核、停用、拒絕 | 1.1.0 |
Azure APIM 平台版本應該是 stv2 | Azure APIM stv1 計算平台版本將於 2024 年 8 月 31 日淘汰,而且這些執行個體應移轉至 stv2 計算平台,以繼續獲得支援。 深入了解:https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
設定 APIM 服務以停用對 APIM 公用服務設定端點的存取 | 若要改善 APIM 服務的安全性,請限制服務組態端點 (例如直接存取管理 API)、Git 組態管理端點或自我裝載閘道組態端點的連線能力。 | DeployIfNotExists, Disabled | 1.1.0 |
修改 APIM 以停用使用者名稱和密碼驗證 | 若要更佳地保護開發人員入口網站使用者帳戶及其認證,請透過 Azure AD 或 Azure AD B2C 識別提供者設定使用者驗證,並停用預設的使用者名稱和密碼驗證。 | Modify | 1.1.0 |
應用程式設定
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應用程式組態應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/appconfig/private-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
應用程式組態應使用客戶自控金鑰 | 客戶自控金鑰提供先進的資料保護,可讓您管理加密金鑰。 這通常需要符合合規性需求。 | Audit, Deny, Disabled | 1.1.0 |
應用程式組態應使用支援私人連結的 SKU | 若使用支援的 SKU,Azure Private Link 可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
應用程式組態 應該使用異地複寫 | 使用異地復寫功能,在目前組態存放區的其他位置建立複本,以增強復原能力和可用性。 此外,擁有多個區域複本可讓您更妥善地分散負載、降低延遲、防止數據中心中斷,以及將全域分散式工作負載分割。 深入了解:https://aka.ms/appconfig/geo-replication。 | AuditIfNotExists, Disabled | 1.0.0 |
應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
應用程式組態存放區應已停用本機驗證方法 | 停用本機驗證方法,確保應用程式組態存放區要求專用 Microsoft Entra 身分識別進行驗證。 深入了解:https://go.microsoft.com/fwlink/?linkid=2161954。 | Audit, Deny, Disabled | 1.0.1 |
設定應用程式組態存放區,以停用本機驗證方法 | 停用本機驗證方法,讓您的應用程式組態存放區要求專用 Microsoft Entra 身分識別進行驗證。 深入了解:https://go.microsoft.com/fwlink/?linkid=2161954。 | 修改、停用 | 1.0.1 |
設定應用程式組態以停用公用網路存取 | 停用應用程式組態的公用網路存取權,使其無法透過公用網際網路來存取。 此設定可協助保護其免於資料洩漏風險。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/appconfig/private-endpoint。 | 修改、停用 | 1.0.0 |
設定連線到應用程式組態的私人端點私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析應用程式組態執行個體。 深入了解:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
設定應用程式組態的私人端點 | 私人端點可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 若將私人端點對應至應用程式組態執行個體,便可降低資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
應用程式平台
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:稽核未啟用分散式追蹤的 Azure Spring Cloud 執行個體 | Azure Spring Cloud 中的分散式追蹤工具可對應用程式中微服務之間的複雜相互關聯進行偵錯及監視。 分散式追蹤工具應啟用並處於健全狀態。 | Audit, Disabled | 1.0.0-preview |
Azure Spring Cloud 應使用網路插入 | Azure Spring Cloud 執行個體應該使用虛擬網路插入來實現下列目的:1. 將 Azure Spring Cloud 與網際網路隔離。 2. 讓 Azure Spring Cloud 能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure Spring Cloud 的輸入和輸出網路通訊 | 稽核、停用、拒絕 | 1.2.0 |
應用程式服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應將 App Service 應用程式插槽插入虛擬網路中 | 將 App Service 應用程式插入虛擬網路中,即可開啟進階的 App Service 網路與安全性功能,並為您提供更好的網路安全性設定控制權。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式插槽應停用公用網路存取 | 停用公用網路存取可確保 App Service 不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制 App Service 的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
App Service 應用程式位置應啟用路由至 Azure 虛擬網路的設定 | 根據預設,提取容器映像和掛接內容儲存體等應用程式組態不會透過區域虛擬網路整合路由傳送。 使用 API 將路由選項設定為 true,可透過 Azure 虛擬網路啟用組態流量。 這些設定允許網路安全性群組和使用者定義路由等功能,以及將服務端點設為私人。 如需詳細資訊,請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式插槽應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量 | 根據預設,如果使用的是區域 Azure 虛擬網路 (VNET) 整合,應用程式只會將 RFC1918 流量路由傳送到該個別的虛擬網路。 使用 API 將 'vnetRouteAllEnabled' 設定為 true,可讓所有輸出流量進入 Azure 虛擬網路。 此設定可讓網路安全性群組和使用者定義路由等功能用於來自 App Service 應用程式的所有輸出流量。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式插槽應停用 FTP 部署的本機驗證方法 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
App Service 應用程式插槽應停用 SCM 網站部署的本機驗證方法 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.4 |
App Service 應用程式插槽應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 1.0.1 |
App Service 應用程式插槽應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式位置應只能透過 HTTPS 來存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 2.0.0 |
App Service 應用程式插槽應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式插槽應為其內容目錄使用 Azure 檔案共用 | 應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 1.0.0 |
App Service 應用程式插槽應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式插槽應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式插槽應使用最新版的 TLS | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 1.1.0 |
使用 JAVA 的 App Service 應用程式插槽應使用指定的「Java 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 JAVA 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 PHP 的 App Service 應用程式插槽應使用指定的「PHP 版本」 | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Python 的 App Service 應用程式插槽應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式應插入虛擬網路中 | 將 App Service 應用程式插入虛擬網路中,即可開啟進階的 App Service 網路與安全性功能,並為您提供更好的網路安全性設定控制權。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 3.0.0 |
App Service 應用程式應停用公用網路存取 | 停用公用網路存取可確保 App Service 不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制 App Service 的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.1.0 |
App Service 應用程式應啟用路由至 Azure 虛擬網路的設定 | 根據預設,提取容器映像和掛接內容儲存體等應用程式組態不會透過區域虛擬網路整合路由傳送。 使用 API 將路由選項設定為 true,可透過 Azure 虛擬網路啟用組態流量。 這些設定允許網路安全性群組和使用者定義路由等功能,以及將服務端點設為私人。 如需詳細資訊,請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量 | 根據預設,如果使用的是區域 Azure 虛擬網路 (VNET) 整合,應用程式只會將 RFC1918 流量路由傳送到該個別的虛擬網路。 使用 API 將 'vnetRouteAllEnabled' 設定為 true,可讓所有輸出流量進入 Azure 虛擬網路。 此設定可讓網路安全性群組和使用者定義路由等功能用於來自 App Service 應用程式的所有輸出流量。 | Audit, Deny, Disabled | 1.0.0 |
App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式應停用 FTP 部署的本機驗證方法 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
App Service 應用程式應停用 SCM 網站部署的本機驗證方法 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
App Service應用程式應使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至應用程式,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/private-link。 | Audit, Deny, Disabled | 4.1.0 |
App Service 應用程式應為其內容目錄使用 Azure 檔案共用 | 應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 3.0.0 |
App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
App Service 應用程式應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至 App Service,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/private-link。 | AuditIfNotExists, Disabled | 1.0.1 |
App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
使用 JAVA 的 App Service 應用程式應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 JAVA 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
使用 PHP 的 App Service 應用程式應使用指定的「PHP 版本」 | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 3.2.0 |
使用 Python 的 App Service 應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
App Service 環境應用程式不應能透過公用網際網路連線 | 為了確保在 App Service 環境中部署的應用程式無法透過公用網際網路存取,您應該使用虛擬網路中的 IP 位址來部署 App Service 環境。 若要將 IP 位址設為虛擬網路 IP,App Service 環境必須使用內部負載平衡器進行部署。 | Audit, Deny, Disabled | 3.0.0 |
App Service 環境應使用最強的 TLS 加密套件來設定 | App Service 環境正常運作所需的兩種最基本和最強大的加密套件為:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 以及 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit, Disabled | 1.0.0 |
App Service 環境應使用最新版本來佈建 | 只允許佈建第 2 版或第 3 版 App Service 環境。 舊版 App Service 環境需要手動管理 Azure 資源,並具有更大的縮放限制。 | Audit, Deny, Disabled | 1.0.0 |
App Service 環境應啟用內部加密 | 將 InternalEncryption 設定為 True,會讓 App Service 環境中前端與背景工作角色之間的分頁檔、背景工作角色磁碟和內部網路流量加密。 若要深入了解,請參閱 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit, Disabled | 1.0.1 |
App Service 環境應停用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 是不支援新式密碼編譯演算法的過時通訊協定。 停用輸入 TLS 1.0 和 1.1 流量有助於保護 App Service 環境中的應用程式。 | Audit, Deny, Disabled | 2.0.1 |
設定 App Service 應用程式插槽以停用 FTP 部署的本機驗證 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式插槽以停用 SCM 網站的本機驗證 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式插槽以停用公用網路存取 | 停用 App Services 的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將 App Service 應用程式位置設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
設定 App Service 應用程式插槽以關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.1.0 |
將 App Service 應用程式插槽設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.2.0 |
設定 App Service 應用程式以停用 FTP 部署的本機驗證 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式以停用 SCM 網站的本機驗證 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
設定 App Service 應用程式以停用公用網路存取 | 停用 App Services 的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將 App Service 應用程式設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
將 App Service 應用程式設定為關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.0.0 |
將 App Service 應用程式設定為使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會將虛擬網路連結至 App Service。 深入了解:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists, Disabled | 1.0.1 |
將 App Service 應用程式設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.1.0 |
設定函數應用程式插槽以停用公用網路存取 | 停用函數應用程式的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將函數應用程式插槽設定為只能經由 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
設定函數應用程式插槽以關閉遠端偵錯 | 遠端偵錯需要在函式應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.1.0 |
將函數應用程式插槽設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.2.0 |
設定函數應用程式以停用公用網路存取 | 停用函數應用程式的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
將函數應用程式設定為只能經由 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
將函數應用程式設定為關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.0.0 |
將函數應用程式設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.1.0 |
函數應用程式插槽應停用公用網路存取 | 停用公用網路存取可確保函數應用程式不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制函數應用程式的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
函數應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式插槽應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式插槽應只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 2.0.0 |
函數應用程式插槽應該只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式插槽應使用 Azure 檔案共用作為其內容目錄 | 函數應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 1.0.0 |
函數應用程式插槽應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式插槽應使用最新版的 TLS | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 1.1.0 |
使用 JAVA 的函數應用程式插槽應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Python 的函數應用程式插槽應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式應停用公用網路存取 | 停用公用網路存取可確保函數應用程式不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制函數應用程式的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
函數應用程式應已啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式,也可以在擁有權杖的要求送達函數應用程式前予以驗證。 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應使用 Azure 檔案共用作為其內容目錄 | 函數應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 3.0.0 |
函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
使用 JAVA 的函數應用程式應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
使用 Python 的函數應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
證明
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 證明提供者應停用公用網路存取 | 若要改善 Azure 證明服務的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 aka.ms/azureattestation 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
Azure 證明提供者應使用私人端點 | 私人端點提供不需透過公用網際網路傳送流量,即可將 Azure 證明提供者連線至 Azure 資源的方法。 藉由防止公用存取,私人端點可協助防範不需要的匿名存取。 | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應在您的電腦上啟用受控識別 | 由 Automanage 管理的資源應該具有受控識別。 | Audit, Disabled | 1.0.0-preview |
[預覽]:Automanage 組態設定檔指派應為 Conformant | 由 Automanage 管理的資源狀態應為 Conformant 或 ConformantCorrected。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:開機診斷應在虛擬機器上啟用 | Azure 虛擬機器應該已啟用開機診斷。 | Audit, Disabled | 1.0.0-preview |
設定虛擬機器以在 Azure Automanage 上線 | Azure Automanage 會註冊、設定及監視虛擬機器,最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。 請使用此原則將 Automanage 套用到您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
設定虛擬機器,以便在 Azure Automanage 上線,並具有自訂組態設定檔 | Azure Automanage 會註冊、設定及監視虛擬機器,最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。 使用此原則,將 Automanage 與您自己的自訂組態設定檔套用至選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
應為 Windows Server Azure 版本 VM 啟用熱修補 | 使用熱修補快速將重新啟動和安裝更新次數降到最低。 深入了解:https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, Disabled | 1.0.0 |
自動化
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
自動化帳戶應該有受控識別 | 使用受控識別作為從 Runbook 向 Azure 資源進行驗證的建議方法。 使用受控識別進行驗證更安全,且無須負擔在 Runbook 程式碼中使用 RunAs 帳戶相關聯的管理額外負荷。 | Audit, Disabled | 1.0.0 |
應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
自動化帳戶應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可以改為建立私人端點,以限制自動化帳戶資源的曝光狀況。 深入了解:https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | Audit, Deny, Disabled | 1.0.0 |
Azure 自動化帳戶應該已停用本機驗證方法 | 停用本機驗證方法可確保 Azure 自動化帳戶僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 | Audit, Deny, Disabled | 1.0.0 |
Azure 自動化帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure 自動化帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/automation-cmk。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure 自動化帳戶以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 自動化帳戶僅可透過 Azure Active Directory 識別身分來進行驗證。 | 修改、停用 | 1.0.0 |
設定 Azure 自動化帳戶以停用公用網路存取 | 停用 Azure 自動化帳戶資源的公用網路存取,便無法透過公用網際網路存取該資源。 此設定可協助保護其免於資料洩漏風險。 您可以改為建立私人端點,以限制自動化帳戶資源的曝光狀況。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
使用私人 DNS 區域設定 Azure 自動化帳戶 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 您需要正確設定私人 DNS 區域,才能透過 Azure Private Link 連線到 Azure 自動化帳戶。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
在 Azure 自動化帳戶上設定私人端點連線 | 私人端點連線允許安全通訊,方法是啟用 Azure 自動化帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 若要深入了解 Azure 自動化中的私人端點,請參閱 https://docs.microsoft.com/azure/automation/how-to/private-link-security。 | DeployIfNotExists, Disabled | 1.0.0 |
應啟用自動化帳戶上的私人端點連線 | 私人端點連線允許安全通訊,方法是啟用自動化帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 若要深入了解 Azure 自動化中的私人端點,請參閱 https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Active Directory Domain Services 受控網域應僅使用 TLS 1.2 模式 | 針對受控網域使用僅限 TLS 1.2 模式。 根據預設,Azure AD Domain Services 可讓您使用 NTLM v1 和 TLS v1 等加密。 某些舊版應用程式可能需要這些加密,但它們強度較弱,而如果您不需這些加密,則也可以加以停用。 啟用僅限 TLS 1.2 模式時,提出要求的任何用戶端若未使用 TLS 1.2,都會失敗。 深入了解:https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain。 | Audit, Deny, Disabled | 1.1.0 |
Azure AI 服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 建議停用金鑰存取 (本機驗證) 以確保安全性。 通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取,如果金鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低權限準則和細微控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
Azure AI 服務資源應該使用 Azure Private Link | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線,以降低資料外洩風險。 深入了解私人連結,請造訪:https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
設定 Azure AI 服務資源應以停用本機金鑰存取 (停用本機驗證) | 建議停用金鑰存取 (本機驗證) 以確保安全性。 通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取,如果金鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低權限準則和細微控制。 深入了解:https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure AI 服務資源應以停用本機金鑰存取 (停用本機驗證) | 建議停用金鑰存取 (本機驗證) 以確保安全性。 通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取,如果金鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低權限準則和細微控制。 深入了解:https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
應啟用 Azure AI 服務資源中的診斷記錄 | 啟用 Azure AI 服務資源的記錄。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:拒絕延伸安全性更新 (ESU) 授權建立或修改。 | 此原則可讓您限制建立或修改 Windows Server 2012 Arc 電腦的 ESU 授權。 如需價格的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | 稽核, 拒絕, 停用 | 1.0.0-preview |
[預覽]:啟用延伸安全性更新 (ESU) 授權,讓 Windows 2012 機器在支援生命週期結束後繼續獲得保護。 | 啟用延伸安全性更新 (ESU) 授權,讓 Windows 2012 機器即使在支援生命週期結束後仍可繼續獲得保護。 了解如何準備透過 Azure Arc 傳遞 Windows Server 2012 的延伸安全性更新,請造訪 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。 如需價格的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
應使用私人端點設定 Azure Arc 私人連結範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Disabled | 1.0.0 |
Azure Arc 私人連結範圍應停用公用網路存取 | 停用公用網路存取可確保 Azure Arc 資源無法透過公用網際網路進行連線,進而改善安全性。 建立私人端點可限制 Azure Arc 資源的曝光程度。 深入了解:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
應使用 Azure Arc 私人連結範圍設定已啟用 Azure Arc 的 Kubernetes 叢集 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
應使用 Azure Arc 私人連結範圍設定啟用 Azure Arc 的伺服器 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
將 Azure Arc 私人連結範圍設定為停用公用網路存取 | 停用 Azure Arc 私人連結範圍的公用網路存取,讓相關聯的 Azure Arc 資源無法透過公用網際網路連線到 Azure Arc 服務。 這可降低資料洩漏風險。 深入了解:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
設定 Azure Arc 私人連結範圍以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Arc Private Link 範圍進行解析。 深入了解:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 1.2.0 |
使用私人端點設定 Azure Arc 私人連結範圍 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Arc 私人連結範圍,您可以降低資料外洩的風險。 深入了解私人連結:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 2.0.0 |
將已啟用 Azure Arc 的 Kubernetes 叢集設定為使用 Azure Arc 私人連結範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
將啟用 Azure Arc 的伺服器設定為使用 Azure Arc 私人連結範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
Azure 資料總管
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 資料總管上的所有資料庫管理員都應該停用 | 停用所有資料庫管理員角色,以限制授與高度權限/系統管理使用者角色。 | Audit, Deny, Disabled | 1.0.0 |
Azure 資料總管叢集應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的 Azure 資料總管叢集,就能降低資料外洩的風險。 深入了解私人連結:https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint。 | Audit, Disabled | 1.0.0 |
Azure 資料總管待用加密應使用客戶自控金鑰 | 在 Azure 資料總管叢集上使用客戶自控金鑰來啟用待用加密,可讓您進一步控制待用加密所使用的金鑰。 這項功能通常適用於具有特殊合規性需求的客戶,而且需要 Key Vault 來管理金鑰。 | Audit, Deny, Disabled | 1.0.0 |
Azure 資料總管應該使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至應用程式,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/private-link。 | Audit, Deny, Disabled | 1.0.0 |
使用私人端點設定 Azure 資料總管叢集 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至 Azure 資料總管,即可降低資料外洩風險。 深入了解:[ServiceSpecificAKA.ms]。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 資料總管以停用公用網路存取 | 停用公用網路存取屬性會關閉公用連線,因此只能從私人端點存取 Azure 資料總管。 此組態會停用所有 Azure 資料總管叢集的公用網路存取。 | 修改、停用 | 1.0.0 |
應該在 Azure 資料總管上啟用磁碟加密 | 啟用磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 | Audit, Deny, Disabled | 2.0.0 |
應該在 Azure 資料總管上啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 2.0.0 |
應停用 Azure 資料總管上的公用網路存取 | 停用公用網路存取屬性可提高安全性,方法是確定只能從私人端點存取 Azure 資料總管。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.0.0 |
應該啟用 Azure 資料總管的虛擬網路插入 | 透過虛擬網路插入來保護您的網路周邊,可讓您強制執行網路安全性群組規則、與內部部署連線,以及使用服務端點來保護您的資料連線來源。 | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Databricks 叢集應該停用公用 IP | 停用 Azure Databricks 工作區中叢集的公用 IP 可藉由確保叢集不會在公用網際網路上公開來改善安全性。 深入了解:https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity。 | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks 工作區應位於虛擬網路中 | Azure 虛擬網路加強了 Azure Databricks 工作區的安全性及隔離性,並提供了子網路、存取控制原則及其他功能,以便進一步限制存取。 深入了解:https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject。 | Audit, Deny, Disabled | 1.0.2 |
Azure Databricks 工作區應該是進階 SKU,可支援私人連結、客戶自控金鑰以進行加密等功能 | 僅允許具有進階 SKU 的 Databricks 工作區,貴組織可部署以支援私人連結、客戶自控金鑰以進行加密等功能。 深入了解:https://aka.ms/adbpe。 | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks 工作區應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以控制資源的曝光狀況。 深入了解:https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link。 | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks 工作區應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 您可以將私人端點對應至 Azure Databricks 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/adbpe。 | Audit, Disabled | 1.0.2 |
設定 Azure Databricks 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Databricks 工作區進行解析。 深入了解:https://aka.ms/adbpe。 | DeployIfNotExists, Disabled | 1.0.1 |
使用私人端點設定 Azure Databricks 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至 Azure Databricks 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/adbpe。 | DeployIfNotExists, Disabled | 1.0.2 |
將 Azure Databricks 工作區的診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 Azure Databricks 工作區時,部署 Azure Databricks 工作區的診斷設定,以將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.1 |
應啟用 Azure Databricks 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
Azure Edge 硬體中心
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Edge 硬體中心裝置應啟用雙重加密支援 | 確保從 Azure Edge 硬體中心訂購的裝置已啟用雙重加密支援,以保護裝置上靜態資料的安全。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 2.0.0 |
Azure 負載測試
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應僅針對虛擬網路中的私人端點執行使用 Azure 負載測試的負載測試。 | Azure 負載測試引擎執行個體應該使用虛擬網路插入來實現下列目的:1. 將 Azure 負載測試引擎隔離至虛擬網路。 2. 讓 Azure 負載測試引擎能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure 負載測試引擎的輸入和輸出網路通訊。 | Audit, Deny, Disabled | 1.0.0-preview |
Azure 負載測試資源應該使用客戶管理的金鑰來加密待用資料 | 使用客戶自控金鑰 (CMK) 來管理 Azure 負載測試資源的待用加密。 根據預設,加密會使用服務管理的金鑰來完成,客戶自控金鑰可讓您使用自行建立和擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal。 | Audit, Deny, Disabled | 1.0.0 |
Azure Purview
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Purview 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Purview 帳戶而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/purview-private-link。 | Audit, Disabled | 1.0.0 |
Azure Stack Edge
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Stack Edge 裝置應該使用雙重加密 | 若要保護裝置上待用的資料,請確定其已雙重加密並已控制對資料的存取,以及在裝置停用之後,會安全地從資料磁碟清除資料。 雙重加密是使用兩個層級的加密:資料磁碟區上的 BitLocker XTS-AES 256 位元加密,以及硬碟的內建加密。 若要深入了解,請參閱特定Stack Edge 裝置的安全性概觀文件。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure 更新管理員
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:設定在 Azure 虛擬機器上排程定期更新的必要條件。 | 此原則會藉由將修補程式協調流程設定為「客戶自控排程」,設定在 Azure 更新管理員上排程定期更新所需的必要條件。 這項變更會自動將修補程式模式設定為 'AutomaticByPlatform',並且在 Azure VM 上將 'BypassPlatformSafetyChecksOnUserSchedule' 啟用為 'True'。 必要條件不適用於已啟用 Arc 的伺服器。 深入了解 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.1.0-preview |
[預覽]:在已啟用 Azure Arc 的伺服器上設定遺漏系統更新的定期檢查 | 在已啟用 Azure Arc 的伺服器上設定作業系統更新的自動評估 (每 24 小時一次)。 您可以根據機器訂用帳戶、資源群組、位置或標記來控制指派的範圍。 在以下位置深入了解,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 2.3.0 |
在 Azure 虛擬機器上設定遺漏系統更新的定期檢查 | 針對原生 Azure 虛擬機器上的 OS 更新,設定自動評量 (每隔 24 小時一次)。 您可以根據機器訂用帳戶、資源群組、位置或標記來控制指派的範圍。 在以下位置深入了解,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 4.8.0 |
機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.7.0 |
使用 Azure 更新管理員排程週期性更新 | 您可以使用 Azure 中的 Azure 更新管理員,以儲存週期性部署排程,在 Azure、內部部署環境、以及使用已啟用 Azure Arc 的伺服器連線的其他雲端環境中,為您的 Windows Server 和 Linux 機器安裝作業系統更新。 此原則也會將 Azure 虛擬機器的修補模式變更為「AutomaticByPlatform」。 更多資訊:https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
Backup
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure 備份延伸模組應該安裝在 AKS 叢集中 | 請確定在您的 AKS 叢集中保護備份延伸模組安裝,以利用 Azure 備份。 適用於 AKS 的 Azure 備份是適用於 AKS 叢集的安全和雲端原生資料保護解決方案 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應該為 AKS 叢集啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 AKS 叢集受到保護。 適用於 AKS 的 Azure 備份是適用於 AKS 叢集的安全和雲端原生資料保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應該在儲存體帳戶中為 Blob 啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的儲存體帳戶受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:應該為受控磁碟啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的受控磁碟受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Azure 備份保存庫應使用客戶自控金鑰來加密備份資料。 也是強制執行基礎結構加密的選項。 | 如果已針對範圍中的備份保存庫啟用加密設定,此原則會遵循「效果」。 此外,還有檢查備份保存庫是否也已啟用基礎結構加密的選項。 請至https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk,即可深入瞭解。 請注意,使用「拒絕」效果時,您必須在現有的備份保存庫上啟用加密設定,才能允許保存庫進行其他更新作業。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure 復原服務保存庫應該停用公用網路存取 | 停用公用網路存取可確保復原服務保存庫不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制復原服務保存庫的曝光程度。 深入了解:https://aka.ms/AB-PublicNetworkAccess-Deny。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽版]:Azure 復原服務保存庫應使用私人連結進行備份 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure 復原服務保存庫,可降低資料洩漏風險。 深入了解私人連結:https://aka.ms/AB-PrivateEndpoints。 | Audit, Disabled | 2.0.0-preview |
[預覽]:設定 Azure 復原服務保存庫以停用公用網路存取 | 停用復原服務保存庫的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/AB-PublicNetworkAccess-Deny。 | 修改、停用 | 1.0.0-preview |
[預覽]:針對具有指定標籤的 Azure 磁碟 (受控磁碟),設定備份至同一區域中現有的備份保存庫 | 將含有指定標籤的所有 Azure 磁碟 (受控磁碟) 強制備份到中央備份保存庫。 深入了解:https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[預覽]:針對沒有指定標籤的 Azure 磁碟 (受控磁碟),設定備份至同一區域中現有的備份保存庫 | 將沒有指定標籤的所有 Azure 磁碟 (受控磁碟) 強制備份到中央備份保存庫。 深入了解:https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
[預覽]:針對儲存體帳戶中具有指定標籤的 Blob,設定備份至同一區域中現有的備份保存庫 | 將所有儲存體帳戶中含有指定標籤的 blob 強制備份到中央備份保存庫。 這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
[預覽]:針對所有儲存體帳戶中不含指定標籤的 Blob,設定備份至同一區域中的備份保存庫 | 將所有儲存體帳戶中不含指定標籤的 blob 強制備份到中央備份保存庫。 這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
[預覽]:設定復原服務保存庫,以使用私人 DNS 區域進行備份 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對您的復原服務保存庫進行解析。 深入了解:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists, Disabled | 1.0.1-preview |
[預覽]:設定復原服務保存庫,以使用私人端點進行備份 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至復原服務保存庫,有助於降低資料洩漏風險。 請注意,您的保存庫必須符合特定先決條件,才能符合私人端點設定的資格。 深入了解:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:停用 Azure 復原服務保存庫的跨訂用帳戶還原 | 停用或永久停用復原服務保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrenhancements。 | 修改、停用 | 1.1.0-preview |
[預覽]:停用備份保存庫的跨訂用帳戶還原 | 停用或永久停用備份保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrstatechange。 | 修改、停用 | 1.1.0-preview |
[預覽]:不允許建立所選擇儲存體備援的復原服務保存庫。 | 復原服務保存庫現在可以透過三個儲存體備援選項中的任何一個來建立,也就是本機備援儲存體、區域備援儲存體和異地備援儲存體。 如果貴組織中的原則要求您封鎖建立屬於特定備援類型的保存庫,您可以使用此 Azure 原則來達成相同的目標。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
[預覽]:備份保存庫必須啟用不變性 | 此原則會稽核範圍中備份保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
[預覽]:復原服務保存庫必須啟用不變性 | 此原則會稽核範圍中復原服務保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
[預覽]:在具有指定標籤的 AKS 叢集 (受控叢集) 中安裝 Azure 備份延伸模組。 | 安裝 Azure 備份延伸模組是保護 AKS 叢集的必要條件。 在包含指定標籤的所有 AKS 叢集上強制執行安裝備份延伸模組。 這樣做可協助您大規模管理 AKS 叢集的備份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
[預覽]:在沒有指定標籤的 AKS 叢集 (受控叢集) 中安裝 Azure 備份延伸模組。 | 安裝 Azure 備份延伸模組是保護 AKS 叢集的必要條件。 在沒有特定標籤值的所有 AKS 叢集上強制執行安裝備份延伸模組。 這樣做可協助您大規模管理 AKS 叢集的備份。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.0-preview |
[預覽]:必須針對備份保存庫啟用多使用者授權 (MUA)。 | 此原則會稽核備份保存庫是否已啟用多使用者授權 (MUA)。 MUA 藉由將額外的保護層新增至關鍵作業,協助保護您的備份保存庫。 若要深入了解,請瀏覽 https://aka.ms/mua-for-bv。 | Audit, Disabled | 1.0.0-preview |
[預覽]:必須針對復原服務保存庫啟用多使用者授權 (MUA)。 | 此原則會稽核復原服務保存庫是否已啟用多使用者授權 (MUA)。 MUA 藉由將額外的保護層新增至關鍵作業,協助保護您的復原服務保存庫。 若要深入了解,請瀏覽 https://aka.ms/MUAforRSV。 | Audit, Disabled | 1.0.0-preview |
[預覽]:復原服務保存庫必須啟用虛刪除。 | 此原則會稽核範圍中復原服務保存庫的虛刪除是否已啟用。 虛刪除可協助您復原資料,即使在資料已刪除之後也一樣。 請至https://aka.ms/AB-SoftDelete,即可深入瞭解。 | Audit, Disabled | 1.0.0-preview |
[預覽]:備份保存庫應該啟用虛刪除 | 此原則會稽核範圍中備份保存庫的虛刪除是否已啟用。 虛刪除可協助您在刪除資料之後復原資料。 深入了解:https://aka.ms/AB-SoftDelete | Audit, Disabled | 1.0.0-preview |
應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
將具有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
將具有指定標籤之虛擬機器上的備份,設定為位於相同位置的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
將沒有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.4.0 |
為復原服務保存庫將診斷設定部署到 Log Analytics 工作區,以納入資源專屬類別。 | 為復原服務保存庫將診斷設定部署到 Log Analytics 工作區,以串流至資源專屬類別。 如果沒有啟用任何資源專屬類別,則會建立新的診斷設定。 | deployIfNotExists | 1.0.2 |
Batch
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Batch 帳戶應使用客戶自控金鑰加密資料 | 使用客戶自控金鑰來管理 Batch 帳戶資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/Batch-CMK。 | Audit, Deny, Disabled | 1.0.1 |
Azure Batch 集區應啟用磁碟加密 | 啟用 Azure Batch 磁碟加密可確保 Azure Batch 計算節點上的資料一律會待用加密。 若要深入了解 Batch 中的磁碟加密,請參閱 https://docs.microsoft.com/azure/batch/disk-encryption。 | 稽核、停用、拒絕 | 1.0.0 |
Batch 帳戶應停用本機驗證方法 | 確保驗證時 Batch 帳戶要求 Azure Active Directory 以獨佔方式識別,並停用本機驗證方法來提升安全性。 深入了解:https://aka.ms/batch/auth。 | Audit, Deny, Disabled | 1.0.0 |
設定 Batch 帳戶停用本機驗證 | 停用位置驗證方法,讓您的 Batch 帳戶在驗證時,要求 Azure Active Directory 以獨佔方式識別。 深入了解:https://aka.ms/batch/auth。 | 修改、停用 | 1.0.0 |
設定 Batch 帳戶以停用公用網路存取 | 確保您的 Batch 帳戶只能從私人端點存取,並停用 Batch 帳戶的公用網路存取改善安全性。 若要深入了解停用公用網路存取,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Batch 帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 對應私人端點與 Batch 帳戶,即可降低資料外洩風險。 深入了解私人連結:https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 為連線到 Batch 帳戶的私人端點設定私人 DNS 區域 | 私人 DNS 記錄允許針對私人端點的私人連線。 私人端點連線允許安全通訊,方法是啟用 Batch 帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 如需 Azure Batch 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists, Disabled | 1.0.0 |
Batch 帳戶上應設定計量警示規則 | 稽核 Batch 帳戶為啟用必要計量而進行的計量警示設定 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用 Batch 帳戶上的私人端點連線 | 私人端點連線允許安全通訊,方法是啟用 Batch 帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 若要深入了解 Batch 中的私人端點,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | AuditIfNotExists, Disabled | 1.0.0 |
建議停用 Batch 帳戶的公用網路存取 | 確保您的 Batch 帳戶只能從私人端點存取,並停用 Batch 帳戶的公用網路存取改善安全性。 若要深入了解停用公用網路存取,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
機器人服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Bot 服務端點應為有效的 HTTPS URI | 資料可能會在傳輸期間遭到篡改。 通訊協定的存在會提供加密來解決誤用和篡改的問題。 若要確保您的 Bot 只會透過加密通道通訊,請將端點設定為有效的 HTTPS URI。 這可確保使用 HTTPS 通訊協定來加密傳輸中的資料,而且通常也符合法規或業界標準的需求。 請造訪:https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Bot Service 應使用客戶自控金鑰進行加密 | Azure Bot Service 會自動加密您的資源,以保護您的資料,並符合組織安全性和合規性承諾。 依預設,系統會使用 Microsoft 代控加密金鑰。 若要在管理金鑰或控制訂用帳戶存取權方面有更大的彈性,請選取客戶自控金鑰,也稱為攜帶您自己的金鑰 (BYOK)。 深入了解 Azure Bot Service 加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Bot Service 應啟用隔離模式 | Bot 應設定為「僅限隔離」模式。 此設定會設定 Bot Service 通道,要求透過要停用的公用網際網路傳送流量。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
Bot 服務應停用本機驗證方法 | 停用本機驗證方法,可確保 Bot 只使用 AAD 來進行驗證,以提高安全性。 | Audit, Deny, Disabled | 1.0.0 |
Bot Service 應停用公用網路存取 | Bot 應設定為「僅限隔離」模式。 此設定會設定 Bot Service 通道,要求透過要停用的公用網際網路傳送流量。 | Audit, Deny, Disabled | 1.0.0 |
BotService 資源應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的 BotService 資源,資料外洩風險就會降低。 | Audit, Disabled | 1.0.0 |
設定 BotService 資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 BotService 相關資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 BotService 資源 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 BotService 資源,就可以降低資料洩漏風險。 | DeployIfNotExists, Disabled | 1.0.0 |
Cache
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cache for Redis Enterprise 應該使用客戶自控金鑰來加密磁碟資料 | 使用客戶自控金鑰 (CMK) 來管理磁碟上資料的待用加密。 根據預設,客戶資料會使用平台代控金鑰 (PMK) 進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/RedisCMK。 | Audit, Deny, Disabled | 1.0.0 |
Azure Cache for Redis Enterprise 應該使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis Enterprise 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Cache for Redis 應停用公用網路存取 | 停用公用網路存取可確保 Azure Cache for Redis 不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制 Azure Cache for Redis 的曝光狀況。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | Audit, Deny, Disabled | 1.0.0 |
Azure Cache for Redis 不應該使用存取金鑰進行驗證 | 不使用本機驗證方法,例如存取金鑰,而使用更安全的替代方案,例如 Microsoft Entra ID (建議) 可改善 Azure Cache for Redis 的安全性。 在 aka.ms/redis/disableAccessKeyAuthentication 深入了解 | Audit, Deny, Disabled | 1.0.0 |
Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure Cache for Redis Enterprise 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以針對 Azure Cache for Redis Enterprise 進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure Cache for Redis Enterprise | 私人端點可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis Enterprise 資源,就能降低資料洩漏風險。 深入了解:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure Cache for Redis 以停用非 SSL 連接埠 | 對 Azure Cache for Redis 啟用僅限 SSL 連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | 修改、停用 | 1.0.0 |
設定 Azure Cache for Redis 以停用公用網路存取 | 停用 Azure Cache for Redis 資源的公用網路存取,使其無法經由公用網際網路存取。 這可協助保護快取免於資料洩漏風險。 | 修改、停用 | 1.0.0 |
設定 Azure Cache for Redis 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以針對 Azure Cache for Redis 進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure Cache for Redis | 私人端點可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 資源,就能降低資料洩漏風險。 深入了解:https://aka.ms/redis/privateendpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
CDN
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Front Door 設定檔應使用支援受控 WAF 規則和私人連結的進階階層 | Azure Front Door 進階版支援 Azure 受控 WAF 規則以及私人連結以支援 Azure 來源。 | Audit, Deny, Disabled | 1.0.0 |
Azure Front Door 標準版與進階版應執行最低 TLS 版本 1.2 | 將最低的 TLS 版本設定為 1.2 可確保使用 TLS 1.2 或更新版本從用戶端存取自訂網域,進而改善安全性。 不建議使用低於 1.2 的 TLS 版本,因為其很弱,而且不支援新式密碼編譯演算法。 | Audit, Deny, Disabled | 1.0.0 |
保護 Azure Front Door 進階版與 Azure 儲存體 Blob 之間或 Azure App Service 的私人連線 | 私人連結可確保 AFD Premium 與 Azure 儲存體 Blob 或 Azure App Service 在 Azure 骨幹網路之間的私人連線,而不會將 Azure 儲存體 Blob 或 Azure App Service 向網際網路公開。 | Audit, Disabled | 1.0.0 |
ChangeTrackingAndInventory
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:將已啟用 Linux Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將已啟用 Linux Arc 的機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用 Linux Arc 的機器,以安裝 ChangeTracking 和 Inventory 的 AMA | 自動在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果區域有支援,此原則便會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
[預覽]:將 Linux 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Linux 虛擬機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Linux VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.5.0-preview |
[預覽]:將 Linux VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Linux 虛擬機器擴展集連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Linux VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0-preview |
[預覽]:將已啟用 Windows Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將已啟用 Windows Arc 的機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用 Windows Arc 的機器,以安裝 ChangeTracking 和 Inventory 的 AMA | 自動在已啟用 Windows Arc 的機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Windows 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Windows 虛擬機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Windows VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.1.0-preview |
[預覽]:將 Windows VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Windows 虛擬機器擴展集連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Windows VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.1.0-preview |
認知服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 使用客戶管理的金鑰來加密待用資料,可提供對金鑰生命週期的更多控制,包括輪替和管理。 這與具有相關合規性需求的組織特別相關。 根據預設,這不會進行評估,而且只有在合規性或限制性原則需求需要時才應套用。 如果未啟用,則會使用平台管理的金鑰來加密資料。 若要實作此作業,請在適用範圍的安全原則中更新 'Effect' 參數。 | Audit, Deny, Disabled | 2.2.0 |
認知服務帳戶應使用受控識別 | 將受控識別指派給您的認知服務帳戶,有助於確保進行安全驗證。 此認知服務帳戶會使用此身分識別,以如 Azure Key Vault 等安全的方式與其他 Azure 服務通訊,而不需管理任何認證。 | Audit, Deny, Disabled | 1.0.0 |
認知服務帳戶應使用客戶擁有的儲存體 | 使用客戶擁有的儲存體來控制在認知服務中儲存的待用資料。 若要深入瞭解客戶擁有的儲存體,請造訪 https://aka.ms/cogsvc-cmk。 | Audit, Deny, Disabled | 2.0.0 |
設定認知服務帳戶以停用本機驗證方法 | 停用本機驗證方法,讓您的認知服務帳戶要求 Azure Active Directory 以獨佔方式識別來進行驗證。 深入了解:https://aka.ms/cs/auth。 | 修改、停用 | 1.0.0 |
設定認知服務帳戶以停用公用網路存取 | 停用認知服務資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://go.microsoft.com/fwlink/?linkid=2129800。 | 已停用,修改 | 3.0.0 |
設定認知服務帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對認知服務帳戶進行解析。 深入了解:https://go.microsoft.com/fwlink/?linkid=2110097。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定認知服務帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | DeployIfNotExists, Disabled | 3.0.0 |
通訊
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
通訊服務資源應該使用受控識別 | 將受控識別指派給您的通訊服務資源,有助於確保進行安全驗證。 此通訊服務資源會使用此身分識別,以如 Azure 儲存體等安全的方式與其他 Azure 服務通訊,而不需管理任何認證。 | Audit, Deny, Disabled | 1.0.0 |
通訊服務資源應該使用允許列出資料位置 | 僅從允許列出資料位置建立通訊服務資源。 此資料位置會決定通訊服務資源的資料靜態儲存位置,以確保您的慣用允許列出資料位置,因為資源建立之後無法變更此位置。 | Audit, Deny, Disabled | 1.0.0 |
計算
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許的虛擬機器大小 SKU | 此原則可讓您指定一組您組織所能部署的虛擬機器大小 SKU。 | 拒絕 | 1.0.1 |
稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
啟用 Azure Site Recovery 的複寫功能,以在虛擬機器上設定災害復原 | 沒有災害復原設定的虛擬機器很容易因停電和其他服務中斷而受到影響。 如果虛擬機器尚未設定災害復原,這項原則會啟用預設設定來啟用複寫功能,藉以協助商務持續運作。 您可以選擇性地納入/排除包含指定標記的虛擬機器,以控制指派的範圍。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | DeployIfNotExists, Disabled | 2.1.0 |
設定磁碟存取資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對受控磁碟進行解析。 深入了解:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定磁碟存取資源 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至磁碟存取資源,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists, Disabled | 1.0.0 |
設定受控磁碟以停用公用網路存取 | 停用受控磁碟資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/disksprivatelinksdoc。 | 修改、停用 | 2.0.0 |
為 Windows Server 部署預設的 Microsoft IaaSAntimalware 延伸模組 | 此原則會在 VM 未設定反惡意程式碼軟體延伸模組時,部署預設組態的 Microsoft IaaSAntimalware 延伸模組。 | deployIfNotExists | 1.1.0 |
磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 要求高安全性,且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶,可以選擇使用平台代控加密金鑰,在基礎結構層使用不同的加密演算法/模式,多一層加密的保障。 需要有磁碟加密集,才能使用雙重加密。 深入了解:https://aka.ms/disks-doubleEncryption。 | Audit, Deny, Disabled | 1.0.0 |
受控磁碟應停用公用網路存取 | 停用公用網路存取可確保受控磁碟不會在公用網際網路上公開,進而改善安全性。 建立私人端點可能會限制受控磁碟的暴露程度。 深入了解:https://aka.ms/disksprivatelinksdoc。 | Audit, Disabled | 2.0.0 |
受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 | 需要一組特定的磁碟加密集搭配受控磁碟使用,讓您控制用於待用加密的金鑰。 您可以選取允許的加密集,而所有其他設定會在連結至磁碟時遭到拒絕。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 2.0.0 |
Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 | AuditIfNotExists, Disabled | 1.1.0 |
僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
OS 和資料磁碟應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理受控磁碟內容的待用加密。 依預設,資料會使用平台代控金鑰進行待用加密,但若要遵循法規,通常需要有客戶自控金鑰。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 3.0.0 |
匯出或上傳至磁碟或快照集時,使用驗證需求保護您的資料。 | 使用匯出/上傳 URL 時,系統會檢查使用者在 Azure Active Directory 中是否有身分識別,以及是否具有匯出/上傳資料的必要權限。 請參閱 aka.ms/DisksAzureADAuth。 | 修改、停用 | 1.0.0 |
虛擬機器擴展集需要自動 OS 映像修補 | 此原則會強制啟用虛擬機器擴展集上的自動 OS 映像修補,以藉由每月安全地套用最新安全性修補程式,隨時保持虛擬機器安全無虞。 | 拒絕 | 1.0.0 |
虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 | Audit, Deny, Disabled | 1.0.0 |
虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
容器應用程式
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
容器應用程式應啟用驗證 | 容器應用程式驗證是一種功能,可以防止匿名 HTTP 要求到達容器應用程式,或者在有權杖的 HTTP 要求到達容器應用程式之前對其進行驗證 | AuditIfNotExists, Disabled | 1.0.1 |
容器應用程式環境應該使用網路插入 | 容器應用程式環境應使用虛擬網路插入以: 1.將容器應用程式與公用網際網路隔離 2.啟用與內部部署資源或其他 Azure 虛擬網路中資源的網路整合 3.針對來回流向環境的網路流量達成更精細的控制。 | 稽核、停用、拒絕 | 1.0.2 |
應使用磁碟區掛接設定容器應用程式 | 強制使用容器應用程式的磁碟區掛接,以確保永續性儲存體容量的可用性。 | Audit, Deny, Disabled | 1.0.1 |
容器應用程式環境應該停用公用網路存取 | 停用公用網路存取可透過內部負載平衡器公開容器應用程式環境,進而改善安全性。 這可移除公用 IP 位址的需求,並防止透過網際網路存取環境內的所有容器應用程式。 | Audit, Deny, Disabled | 1.1.0 |
容器應用程式應停用外部網路存取 | 強制執行僅限內部輸入來停用容器應用程式的外部網路存取。 這將確保容器應用程式的輸入通訊僅限於 Container Apps 環境中的呼叫者。 | Audit, Deny, Disabled | 1.0.1 |
應只可經由 HTTPS 存取容器應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 停用 'allowInsecure' 會導致將要求從 HTTP 自動重新導向至容器應用程式的 HTTPS 連線。 | Audit, Deny, Disabled | 1.0.1 |
應啟用容器應用程式的受控識別 | 強制使用受控識別可確保容器應用程式能夠安全地向支援Azure AD 驗證的任何資源進行驗證 | Audit, Deny, Disabled | 1.0.1 |
容器執行個體
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 容器執行個體容器群組應部署至虛擬網路 | 使用 Azure 虛擬網路保護容器之間的通訊。 當您指定虛擬網路時,虛擬網路內的資源可以安全並私下地彼此通訊。 | 稽核、停用、拒絕 | 2.0.0 |
Azure 容器執行個體容器群組應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的容器。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | 稽核、停用、拒絕 | 1.0.0 |
將容器群組的診斷設定設定至 Log Analytics 工作區 | 在建立或更新任何遺漏此診斷設定的容器執行個體時,部署容器執行個體的診斷設定以將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
容器執行個體
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將容器群組的診斷設定至 Log Analytics 工作區 | 在建立或更新遺漏這些欄位的任何容器群組時,附加指定 Log Analytics workspaceId 和 workspaceKey。 在這些資源群組有所變更之前,不會修改在套用此原則之前所建立的容器群組欄位。 | Append、Disabled | 1.0.0 |
Container Registry
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定容器登錄來停用匿名驗證。 | 停用登錄的匿名提取,讓未經驗證的使用者無法存取資料。 停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證,進而改善安全性。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.0 |
設定容器登錄以停用 ARM 對象權杖驗證。 | 停用以 Azure Active Directory ARM 對象權杖向登錄進行驗證的功能。 只有 Azure Container Registry (ACR) 對象權杖才會用於驗證。 這可確保只有預定要在登錄上使用的權杖,才可用於驗證。 停用 ARM 對象權杖並不會影響管理使用者或限定範圍存取權杖的驗證。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.0 |
設定容器登錄來停用本機系統管理員帳戶。 | 停用登錄的系統管理員帳戶,讓本機系統管理員無法存取。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證,進而改善安全性。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.1 |
設定容器登錄以停用公用網路存取 | 停用 Azure Container Registry 資源的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 若要深入了解,請參閱 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link。 | 修改、停用 | 1.0.0 |
設定容器登錄以停用存放庫範圍存取權杖。 | 停用登錄的存放庫範圍存取權杖,讓權杖無法存取存放庫。 停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證,進而改善安全性。 深入了解:https://aka.ms/acr/authentication。 | 修改、停用 | 1.0.0 |
設定容器登錄以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,針對您的 Azure Container Registry 進行解析。 深入了解:https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link。 | DeployIfNotExists, Disabled | 1.0.1 |
使用私人端點設定容器登錄 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可將私人端點對應至進階容器登錄資源,以便降低資料外洩風險。 深入了解:https://aka.ms/privateendpoints 和 https://aka.ms/acr/private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
容器登錄應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK。 | Audit, Deny, Disabled | 1.1.2 |
容器登錄應停用匿名驗證。 | 停用登錄的匿名提取,讓未經驗證的使用者無法存取資料。 停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證,進而改善安全性。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應停用 ARM 對象權杖驗證。 | 停用以 Azure Active Directory ARM 對象權杖向登錄進行驗證的功能。 只有 Azure Container Registry (ACR) 對象權杖才會用於驗證。 這可確保只有預定要在登錄上使用的權杖,才可用於驗證。 停用 ARM 對象權杖並不會影響管理使用者或限定範圍存取權杖的驗證。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應停用匯出 | 停用匯出可確保登錄中的資料只能透過資料平面存取 ('docker pull')。進而改善安全性。 資料無法透過 'acr import' 或 'acr transfer' 從登錄移出。 若要停用匯出,必須停用公用網路存取。 深入了解:https://aka.ms/acr/export-policy。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應停用本機系統管理員帳戶。 | 停用登錄的系統管理員帳戶,讓本機系統管理員無法存取。停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證,進而改善安全性。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.1 |
容器登錄應已停用存放庫範圍存取權杖。 | 停用登錄的存放庫範圍存取權杖,讓權杖無法存取存放庫。 停用本機驗證方法 (例如管理員使用者、存放庫範圍存取權杖和匿名提取) 可確保容器登錄僅可要求 Azure Active Directory 身分識別進行驗證,進而改善安全性。 深入了解:https://aka.ms/acr/authentication。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應具有支援私人連結的 SKU | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的容器登錄,而不是整個服務,資料外洩風險就會降低。 深入了解:https://aka.ms/acr/private-link。 | Audit, Deny, Disabled | 1.0.0 |
不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
容器登錄應該防止快取規則建立 | 停用 Azure Container Registry 的快取規則建立,以防止透過快取提取進行提取。 深入了解:https://aka.ms/acr/cache。 | Audit, Deny, Disabled | 1.0.0 |
容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
容器登錄應停用公用網路存取 | 停用公用網路存取可確保容器登錄不會在公用網際網路上公開,進而改善安全性。 建立私人端點可能會限制容器登錄資源的曝光狀況。 深入了解:https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/private-link。 | Audit, Deny, Disabled | 1.0.0 |
Cosmos DB
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.1.0 |
Azure Cosmos DB 帳戶不應允許來自所有 Azure 資料中心的流量 | 不允許 IP 防火牆規則 '0.0.0.0',這樣會允許來自任何 Azure 資料中心的所有流量。 深入了解:https://aka.ms/cosmosdb-firewall | Audit, Deny, Disabled | 1.0.0 |
Azure Cosmos DB 帳戶不應超過自上次帳戶金鑰重新產生後允許的天數上限。 | 在指定的時間重新產生金鑰,讓資料更加受到保護。 | Audit, Disabled | 1.0.0 |
Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/cosmosdb-cmk。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure Cosmos DB 允許的位置 | 此原則可讓您限制貴組織在部署 Azure Cosmos DB 資源時可指定的位置。 它可用來強制執行地理合規性需求。 | [parameters('policyEffect')] | 1.1.0 |
應停用 Azure Cosmos DB 以金鑰為基礎的中繼資料寫入權限 | 此原則可讓您確認所有 Azure Cosmos DB 帳戶都停用以金鑰為基礎的中繼資料寫入權限。 | 附加 | 1.0.0 |
Azure Cosmos DB 應停用公用網路存取 | 停用公用網路存取可確保 CosmosDB 帳戶不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您 CosmosDB 帳戶的曝光。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit, Deny, Disabled | 1.0.0 |
應限制 Azure Cosmos DB 輸送量 | 此原則可讓您在透過資源提供者建立 Azure Cosmos DB 資料庫和容器時,限制組織可指定的最大輸送量。 這會封鎖自動調整資源的建立。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
設定 Cosmos DB 資料庫帳戶以停用本機驗證 | 停用本機驗證方法,讓您的 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | 修改、停用 | 1.1.0 |
設定 CosmosDB 帳戶以停用公用網路存取 | 停用 CosmosDB 資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | 修改、停用 | 1.0.1 |
設定 CosmosDB 帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 CosmosDB 帳戶進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 2.0.0 |
使用私人端點設定 CosmosDB 帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應至您的 CosmosDB 帳戶,就能降低資料外洩風險。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
Cosmos DB 資料庫帳戶應已停用本機驗證方法 | 停用本機驗證方法可確保 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit, Deny, Disabled | 1.1.0 |
CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
為 Cosmos DB 帳戶部署進階威脅防護 | 此原則會在多個 Cosmos DB 帳戶啟用進階威脅防護。 | DeployIfNotExists, Disabled | 1.0.0 |
自訂提供者
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
部署自訂提供者的關聯 | 部署關聯資源,將所選資源類型與指定的自訂提供者相關聯。 此原則部署不支援巢狀資源類型。 | deployIfNotExists | 1.0.0 |
資料箱
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密 | 針對裝置上的待用資料啟用軟體型的第二層加密。 裝置已透過進階加密標準的 256 位加密來保護待用資料。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 1.0.0 |
Azure 資料箱作業應使用客戶自控金鑰加密裝置解除鎖定密碼 | 使用客戶自控金鑰控制 Azure 資料箱的裝置解除鎖定密碼加密。 客戶自控金鑰也有助於管理資料箱服務對裝置解除鎖定密碼的存取權,以便準備裝置並自動複製資料。 裝置本身上的資料已使用進階加密標準 256 位加密進行待用加密,而裝置解除鎖定密碼預設會使用 Microsoft 受控金鑰加密。 | Audit, Deny, Disabled | 1.0.0 |
Data Factory
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure Data Factory 管線應該只與允許的網域通訊 | 若要防止資料與權杖外流,請設定允許 Azure Data Factory 進行通訊的網域。 注意:在公開預覽期間,不會報告此原則的合規性,以及要套用至 Data Factory 的原則,請在 ADF 工作室中啟用輸出規則功能。 如需詳細資訊,請瀏覽 https://aka.ms/data-exfiltration-policy。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
Azure 資料處理站應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理 Azure Data Factory 的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/adf-cmk。 | Audit, Deny, Disabled | 1.0.1 |
Azure Data Factory 整合執行階段應具有核心數目的限制 | 若要管理您的資源和成本,請限制整合執行階段的核心數目。 | Audit, Deny, Disabled | 1.0.0 |
Azure Data Factory 連結服務資源類型應在允許清單中 | 定義 Azure Data Factory 連結服務類型的允許清單。 限制允許的資源類型可讓您控制資料移動的界限。 例如,將範圍限制為只允許具有 Data Lake Storage Gen1 和 Gen2 的 Blob 儲存體進行分析,或將範圍限制為只允許即時查詢進行 SQL 和 Kusto 存取。 | Audit, Deny, Disabled | 1.1.0 |
Azure Data Factory 連結服務應該使用 Key Vault 儲存祕密 | 為確保祕密 (例如連接字串) 受到安全地管理,需要使用者使用 Azure Key Vault 來提供祕密,而非將其指定內嵌於連結服務中。 | Audit, Deny, Disabled | 1.0.0 |
支援系統指派的受控識別驗證時,Azure Data Factory 連結服務應加以使用 | 透過連結服務與資料存放區通訊時,使用系統指派的受控識別,可避免使用較不安全的認證,例如密碼或連接字串。 | Audit, Deny, Disabled | 2.1.0 |
Azure Data Factory 應使用 Git 存放庫進行原始檔控制 | 僅使用 Git 整合設定您的開發資料處理站。 測試與生產的變更應該透過 CI/CD 部署,而且「不」需要具備 Git 整合。 「請勿」在您的 QA/測試/生產資料處理站上套用此原則。 | Audit, Deny, Disabled | 1.0.1 |
Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Data Factory 以停用公用網路存取 | 停用 Data Factory 的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | 修改、停用 | 1.0.0 |
為連線到 Azure Data Factory 的私人端點設定私人 DNS 區域 | 私人 DNS 記錄允許針對私人端點的私人連線。 私人端點連線允許安全通訊,方法是啟用您 Azure Data Factory 的私人連線,而無需來源或目的地上的公用 IP 位址。 如需 Azure Data Factory 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Data Factory 的私人端點 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure Data Factory 服務,就可以降低資料外洩風險。 深入了解:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists, Disabled | 1.1.0 |
應停用 Azure Data Factory 上的公用網路存取 | 停用公用網路存取屬性可提高安全性,方法是確定只能從私人端點存取 Azure Data Factory。 | Audit, Deny, Disabled | 1.0.0 |
Azure Data Factory 上的 SQL Server Integration Services 整合執行階段應聯結到虛擬網路 | Azure 虛擬網路部署可為 Azure Data Factory 上的 SQL Server Integration Services 整合執行階段提供強化的安全性及隔離,以及子網路、存取控制原則和其他功能,以進一步限制存取。 | Audit, Deny, Disabled | 2.3.0 |
Data Lake
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Data Lake Store 帳戶需要加密 | 此原則可確保所有 Data Lake Store 帳戶上均已啟用加密 | 拒絕 | 1.0.0 |
應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
桌面虛擬化
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 虛擬桌面主機集區應停用公用網路存取 | 停用公用網路存取可藉由確保 Azure 虛擬桌面服務的存取不會公開至公用網際網路,改善安全性及保護您的資料安全。 深入了解:https://aka.ms/avdprivatelink。 | Audit, Deny, Disabled | 1.0.0 |
Azure 虛擬桌面主機集區應僅在工作階段主機上停用公用網路存取 | 停用 Azure 虛擬桌面主機集區工作階段主機的公用網路存取,但允許終端使用者的公用存取,可藉由限制公開至公用網際網路來改善安全性。 深入了解:https://aka.ms/avdprivatelink。 | Audit, Deny, Disabled | 1.0.0 |
Azure 虛擬桌面服務應該使用私人連結 | 搭配 Azure 虛擬桌面資源使用 Azure Private Link 可以改善安全性,並保護您的資料安全。 深入了解私人連結:https://aka.ms/avdprivatelink。 | Audit, Disabled | 1.0.0 |
Azure 虛擬桌面工作區應停用公用網路存取 | 停用 Azure 虛擬桌面工作區資源的公用網路存取,可防止透過公用網際網路存取摘要。 只允許私人網路存取可改善安全性,並保護您的資料安全。 深入了解:https://aka.ms/avdprivatelink。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure 虛擬桌面主機集區資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 虛擬桌面資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 虛擬桌面主機集區以停用公用網路存取 | 停用 Azure 虛擬桌面主機集區資源上工作階段主機和終端使用者的公用網路存取,使其無法透過公用網際網路存取。 這可改善安全性,並保護您的資料安全。 深入了解:https://aka.ms/avdprivatelink。 | 修改、停用 | 1.0.0 |
設定 Azure 虛擬桌面主機集區僅針對工作階段主機停用公用網路存取 | 停用 Azure 虛擬桌面主機集區工作階段主機的公用網路存取,但允許終端使用者的公用存取。 這讓使用者仍可存取 AVD 服務,同時確保工作階段主機只能透過私人路由存取。 深入了解:https://aka.ms/avdprivatelink。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure 虛擬桌面主機集區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure 虛擬桌面資源,您可以改善安全性並保護資料安全。 深入了解:https://aka.ms/avdprivatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 虛擬桌面工作區資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 虛擬桌面資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure 虛擬桌面工作區以停用公用網路存取 | 停用 Azure 虛擬桌面工作區資源的公用網路存取,就無法透過公用網際網路存取摘要。 這可改善安全性,並保護您的資料安全。 深入了解:https://aka.ms/avdprivatelink。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure 虛擬桌面工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至您的 Azure 虛擬桌面資源,您可以改善安全性並保護資料安全。 深入了解:https://aka.ms/avdprivatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
DevCenter
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Microsoft 開發箱集區不應該使用 Microsoft 託管網路。 | 不允許在建立集區資源時使用 Microsoft 託管網路。 | Audit, Deny, Disabled | 1.0.0-preview |
DevOpsInfrastructure
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應該為 Microsoft 受控 DevOps 集區提供有效的子網路資源,才能使用自己的虛擬網路進行設定。 | 如果未提供有效的子網路資源,則不允許建立集區資源。 | Audit, Deny, Disabled | 1.0.0-preview |
ElasticSan
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
ElasticSan 應該停用公用網路存取 | 停用 ElasticSan 的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
ElasticSan 磁碟區群組應該使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來管理 VolumeGroup 的待用加密。 根據預設,客戶資料會使用平台管理的金鑰進行加密,但通常需要有 CMK 才能符合法規合規性標準。 客戶自控金鑰可讓您使用自己建立並擁有的 Azure Key Vault 金鑰來加密資料,您將全權掌控並擔負全責,包括輪替和管理。 | Audit, Disabled | 1.0.0 |
ElasticSan 磁碟區群組應使用私人端點 | 私人端點可讓系統管理員將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至磁碟區群組,系統管理員即可降低資料外洩風險 | Audit, Disabled | 1.0.0 |
事件方格
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Event Grid 網域應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/privateendpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure Event Grid 網域應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Event Grid 網域僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://aka.ms/aeg-disablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
Azure 事件方格命名空間 MQTT 代理應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 若將私人端點對應至事件方格命名空間而非整個服務,您也會受到保護,以免遭到資料外洩風險。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | Audit, Disabled | 1.0.0 |
Azure 事件方格命名空間主題訊息代理程式應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 若將私人端點對應至事件方格命名空間而非整個服務,您也會受到保護,以免遭到資料外洩風險。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | Audit, Disabled | 1.0.0 |
Azure 事件方格命名空間應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure Event Grid 合作夥伴命名空間應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Event Grid 合作夥伴命名空間僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://aka.ms/aeg-disablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
Azure Event Grid 主題應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/privateendpoints。 | Audit, Deny, Disabled | 1.0.0 |
Azure Event Grid 主題應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Event Grid 主題僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://aka.ms/aeg-disablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
設定 Azure Event Grid 網域以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Event Grid 網域僅可透過 Azure Active Directory 識別身分來進行驗證。 深入了解:https://aka.ms/aeg-disablelocalauth。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure 事件方格命名空間 MQTT 代理 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至您的資源,即可防範資料外洩風險。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 事件方格命名空間 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至您的資源,即可防範資料外洩風險。 深入了解:https://aka.ms/aeg-ns-privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure Event Grid 合作夥伴命名空間以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Event Grid 合作夥伴命名空間僅可透過 Azure Active Directory 識別身分來進行驗證。 深入了解:https://aka.ms/aeg-disablelocalauth。 | 修改、停用 | 1.0.0 |
設定 Azure Event Grid 主題以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Event Grid 主題僅可透過 Azure Active Directory 識別身分來進行驗證。 深入了解:https://aka.ms/aeg-disablelocalauth。 | 修改、停用 | 1.0.0 |
部署 - 設定 Azure 事件方格網域以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
部署:使用私人端點設定 Azure Event Grid 網域 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至您的資源,即可防範資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 設定 Azure 事件方格主題以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
部署:使用私人端點設定 Azure Event Grid 主題 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 將私人端點對應至您的資源,即可防範資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
修改:設定 Azure Event Grid 網域以停用公用網路存取 | 停用 Azure Event Grid 資源的公用網路存取,便無法透過公用網際網路存取該資源。 這有助於防範資源的資料外洩風險。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
修改:設定 Azure Event Grid 主題以停用公用網路存取 | 停用 Azure Event Grid 資源的公用網路存取,便無法透過公用網際網路存取該資源。 這有助於防範資源的資料外洩風險。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://aka.ms/privateendpoints。 | 修改、停用 | 1.0.0 |
事件中樞
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
除了 RootManageSharedAccessKey 外,應從事件中樞命名空間移除所有授權規則 | 事件中樞用戶端不應該使用提供命名空間中所有佇列及主題存取權的命名空間層級存取原則。 若要與最低權限資訊安全模型達成一致,您應在佇列和主題的實體層級建立存取原則,以提供僅限特定實體的存取權 | Audit, Deny, Disabled | 1.0.1 |
應定義事件中樞執行個體上的授權規則 | 稽核事件中樞實體的授權規則是否存在,以授與最低權限的存取 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 事件中樞命名空間應該已停用本機驗證方法 | 停用本機驗證方法可確保 Azure 事件中樞命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證,進而提升安全性。 深入了解:https://aka.ms/disablelocalauth-eh。 | Audit, Deny, Disabled | 1.0.1 |
設定 Azure 事件中樞命名空間以停用本機驗證 | 停用本機驗證方法,讓您的 Azure 事件中樞命名空間僅可透過 Microsoft Entra ID 識別身分來進行驗證。 深入了解:https://aka.ms/disablelocalauth-eh。 | 修改、停用 | 1.0.1 |
設定事件中樞命名空間以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對事件中樞命名空間進行解析。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定事件中樞命名空間 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至事件中樞命名空間,藉此降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
事件中樞命名空間應停用公用網路存取 | Azure 事件中樞應該停用公用網路存取。 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Deny, Disabled | 1.0.0 |
事件中樞命名空間應該啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 1.0.0 |
事件中樞命名空間應使用客戶自控金鑰進行加密 | Azure 事件中樞支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。 選擇使用客戶自控金鑰來加密資料,可讓您指派、輪替、停用及撤銷事件中樞將用來加密命名空間中資料的金鑰存取權。 請注意,事件中樞僅支援使用客戶自控金鑰來加密專用叢集中的命名空間。 | Audit, Disabled | 1.0.0 |
事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
流體轉送
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
流體轉送應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來管理流體轉送伺服器的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有 CMK 才能符合法規合規性標準。 客戶自控金鑰可讓您使用自己建立並擁有的 Azure Key Vault 金鑰來加密資料,您將全權掌控並擔負全責,包括輪替和管理。 請至https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys,即可深入瞭解。 | Audit, Disabled | 1.0.0 |
一般
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用「全球」區域的資源。 | 拒絕 | 1.0.0 |
允許資源群組的位置 | 此原則可讓您限制貴組織可在其中建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
允許的資源類型 | 此原則可讓您指定組織所能部署的資源類型。 只有支援「標籤」和「位置」的資源類型會受此原則影響。 若要限制所有資源,請複製此原則,並將 [模式] 變更為 [全部]。 | 拒絕 | 1.0.0 |
稽核資源位置是否符合資源群組位置 | 稽核資源位置是否符合其資源群組位置 | 稽核 | 2.0.0 |
稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
設定訂用帳戶以設定預覽功能 | 此原則會評估現有訂用帳戶的預覽功能。 您可以補救訂用帳戶以註冊至新的預覽功能。 新的訂用帳戶不會自動註冊。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
不允許刪除資源類型 | 此原則可讓您指定組織可以使用拒絕動作效果封鎖刪除呼叫,以防止意外刪除的資源類型。 | DenyAction、Disabled | 1.0.1 |
不允許 M365 資源 | 封鎖 M365 資源的建立。 | Audit, Deny, Disabled | 1.0.0 |
不允許 MCPP 資源 | 封鎖 MCPP 資源的建立。 | Audit, Deny, Disabled | 1.0.0 |
排除使用量成本資源 | 此原則可讓您排除使用量成本資源。 使用量成本包括計量付費儲存體和 Azure 資源等項目,這些項目會根據使用量計費。 | Audit, Deny, Disabled | 1.0.0 |
不允許的資源類型 | 限制可以在環境中部署哪些資源類型。 限制資源類型可減少環境的複雜度和受攻擊面,同時也有助於管理成本。 只有不符合規範的資源會顯示合規性結果。 | Audit, Deny, Disabled | 2.0.0 |
來賓設定
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:在虛擬機器上新增使用者指派的受控身分識別,以啟用客體組態指派 | 此原則會將使用者指派的受控身分識別新增至 Azure 中所裝載且受來賓設定所支援的虛擬機器。 使用者指派的受控身分識別是所有來賓設定指派的先決條件,必須先新增至電腦,才能使用任何來賓設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
[預覽]:設定 Windows Server 以停用本機使用者。 | 建立客體設定指派,以設定在 Windows Server 上停用本機使用者。 這可確保 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | DeployIfNotExists, Disabled | 1.2.0-preview |
[預覽]:延伸安全性更新應該安裝在 Windows Server 2012 Arc 電腦上。 | Windows Server 2012 Arc 電腦應該已安裝 Microsoft 發行的所有延伸安全性更新。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資訊,請造訪 https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Linux 機器應符合 Docker 主機的 Azure 安全性基準需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 此機器未針對 Azure 安全性基準中關於 Docker 主機的其中一個建議正確設定。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:Linux 電腦應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果未針對 Azure 計算 STIG 合規性需求中的其中一項建議正確設定機器,則機器不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。 如需詳細資料,https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:已安裝 OMI 的 Linux 電腦應有 1.6.8-1 版或更新版本 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 由於 Linux OMI 套件 1.6.8-1 版中包含的安全性修正程式,所有機器都應該更新為最新版本。 升級使用 OMI 來解決此問題的應用程式/套件。 如需詳細資訊,請參閱https://aka.ms/omiguidance。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:Nexus 計算機器應符合安全性基準 | 利用 Azure 原則客體組態代理程式進行稽核。 此原則可確保機器遵守 Nexus 計算安全性基準,其中包含各種建議,旨在針對各種弱點和不安全的組態強化機器 (僅限 Linux)。 | AuditIfNotExists, Disabled | 1.1.0-preview |
[預覽]:Windows 電腦應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算的 STIG 合規性需求的其中一項建議正確設定,則電腦不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。 如需詳細資料,https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.0.0-preview |
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核未安裝指定應用程式的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出未安裝參數所提供的一或多個套件,則電腦不相容。 | AuditIfNotExists, Disabled | 4.2.0 |
稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核已安裝指定應用程式的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出已安裝參數所提供的一或多個套件,則電腦不相容。 | AuditIfNotExists, Disabled | 4.2.0 |
稽核 Linux 的 SSH 安全性狀態(由 OSConfig 提供電源) | 此原則會稽核 Linux 機器上的 SSH 伺服器安全性設定(Azure VM 和已啟用 Arc 的電腦)。 如需詳細資訊,包括必要條件、範圍中的設定、預設值和自定義,請參閱 https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Disabled | 1.0.1 |
稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核 Windows 電腦網路連線 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 IP 與 TCP 通訊埠的網路連線狀態與原則參數不相符,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核 DSC 設定不合規的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 傳回電腦的 DSC 設定不符合規範,則電腦不相容。 | auditIfNotExists | 3.0.0 |
稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若未安裝代理程式,或已安裝但 COM 物件 AgentConfigManager.MgmtSvcCfg 傳回其所註冊的工作區,並非原則參數中所指定的識別碼,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核未安裝及「執行」指定服務的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的結果未包含具有原則參數所指定相符狀態的服務名稱,則電腦不相容。 | auditIfNotExists | 3.0.0 |
稽核未啟用 Windows 序列主控台的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若電腦未安裝序列主控台軟體,或是未使用與原則參數相同的值來設定 EMS 連接埠號碼或傳輸速率,則電腦不相容。 | auditIfNotExists | 3.0.0 |
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼,則機器不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未加入指定網域的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中的網域屬性值 win32_computersystem 與原則參數中的值不相符,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核未設定為指定時區的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別 Win32_TimeZone 中 StandardName 的屬性值不符合原則參數所選的時區,則電腦不相容。 | auditIfNotExists | 3.0.0 |
稽核其憑證即將在指定天數內到期的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果指定存放區中的憑證到期日超出指定天數的範圍,則電腦不相容。 此原則也提供僅檢查特定憑證或排除特定憑證,以及是否要報告已過期憑證的選項。 | auditIfNotExists | 2.0.0 |
稽核其受信任的根中未包含指定憑證的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦受信任的根憑證存放區 (Cert:\LocalMachine\Root) 未包含原則參數所列出的一或多個憑證,則電腦不相容。 | auditIfNotExists | 3.0.0 |
稽核未將密碼最長有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最長有效期設定為指定天數,則機器不符合規範。 密碼最長有效期的預設值為 70 天 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未將密碼最短有效期設定為指定天數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最短有效期設定為指定天數,則機器不符合規範。 密碼最短有效期的預設值為 1 天 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
稽核沒有指定 Windows PowerShell 執行原則的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 傳回的值不是原則參數中所選取的值,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核未安裝指定 Windows PowerShell 模組的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果環境變數 PSModulePath 所指定的位置中無法使用模組,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核未將密碼長度下限限制為指定字元數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼長度下限限制為指定的字元數,機器就不符合規範。 密碼長度下限的預設值為 14 個字元 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
稽核未安裝指定應用程式的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若在下列任一登錄路徑中找不到該應用程式名稱,該電腦即不合規:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組包含的成員未在原則參數中列出,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核未在指定天數內重新啟動的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果類別 Win32_Operatingsystem 中的 WMI 屬性 LastBootUpTime 超出原則參數所提供的天數範圍,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核已安裝指定應用程式的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若在下列任一登錄路徑中找不到該應用程式名稱,該電腦即不合規:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 | auditIfNotExists | 2.0.0 |
稽核正在等候重新開機的 Windows VM | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦因下列任何原因而擱置重新開機,則電腦不相容:以元件為基礎的服務、Windows Update、擱置的檔案重新命名、擱置的電腦重新命名、擱置的設定管理員重新開機。 每個偵測都有唯一的登錄路徑。 | auditIfNotExists | 2.0.0 |
對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
設定 Linux Server 以停用本機使用者。 | 建立客體組態指派,以設定在 Linux Server 上停用本機使用者。 這可確保 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | DeployIfNotExists, Disabled | 1.3.0-preview |
在 Windows 電腦上設定安全通訊協定 (TLS 1.1 或 TLS 1.2) | 建立來賓設定指派,以在 Windows 電腦上設定指定的安全通訊協定版本 (TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists, Disabled | 1.0.1 |
設定 Linux 的 SSH 安全性狀態(由 OSConfig 提供電源) | 此原則會在Linux機器上稽核及設定SSH伺服器安全性設定(Azure VM和已啟用Arc的機器)。 如需詳細資訊,包括必要條件、範圍中的設定、預設值和自定義,請參閱 https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Disabled | 1.0.1 |
在 Windows 機器上設定時區。 | 此原則會建立客體設定指派,以在 Windows 虛擬機器上設定指定的時區。 | deployIfNotExists | 2.1.0 |
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
Linux 電腦應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。 減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。 如果有本機使用者帳戶已啟用但是未列在原則參數中,則機器不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
Linux 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。 | 雖然虛擬機器的 OS 和資料磁碟預設會使用平台受控金鑰進行待用加密;但是資源磁碟 (暫存磁碟)、資料快取以及計算與儲存體資源之間的資料流動不會加密。 使用 Azure 磁碟加密或 EncryptionAtHost 來補救。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應項目。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.2.1 |
Linux 電腦上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 伺服器未停用本機驗證方法,則電腦不符合規範。 這可驗證 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | AuditIfNotExists, Disabled | 1.2.0-preview |
Windows 伺服器上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 伺服器未停用本機驗證方法,則電腦不符合規範。 這可驗證 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0-preview |
應啟用客體設定指派的私人端點 | 私人端點連線透過啟用與虛擬機器客體設定的私人連線,可強制執行安全通訊。 除非虛擬機器具有 'EnablePrivateNetworkGC' 標籤,否則虛擬機器將不符合規範。 此標籤會透過與虛擬機器客體設定的私人連線來強制執行安全通訊。 私人端點連線限制僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | Audit, Deny, Disabled | 1.1.0 |
應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 機器應設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
Windows 電腦應設定 Windows Defender 在一天內更新保護簽章 | 若要提供足夠的保護以抵禦新發行的惡意程式碼,Windows Defender 保護簽章必須定期更新以應對新發行的惡意程式碼。 此原則不會套用至 Arc 連線的伺服器,而且會要求必須已將來賓設定必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.1 |
Windows 電腦應啟用 Windows Defender 即時保護 | Windows 電腦應啟用 Windows Defender 中的即時保護,提供足夠的保護以抵禦新發行的惡意程式碼。 此原則不適用於 Arc 連線的伺服器,而且會要求必須已將來賓設定必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.1 |
Windows 電腦應符合「系統管理範本 - 控制台」的需求 | Windows 電腦在 [系統管理範本 - 控制台] 類別中應具有指定的群組原則設定,以將輸入個人化和防止啟用鎖定畫面。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統管理範本 - MSS (舊版)」的需求 | Windows 電腦的 [系統管理範本 - MSS (舊版)] 類別中應具有指定的群組原則設定,以用於自動登入、螢幕保護裝置、網路行為、安全 DLL 和事件記錄檔。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統管理範本 - 網路」的需求 | Windows 電腦在 [系統管理範本 - 網路] 類別中應具有指定的 [群組原則] 設定,以進行來賓登入、同時連線、網路橋接器、ICS 和多點傳送名稱解析。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統管理範本 - 系統」的需求 | Windows 電腦的 [系統管理範本 - 系統] 類別中應具有指定的群組原則設定,以透過設定來控制系統管理體驗和遠端協助。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 帳戶」的需求 | Windows 電腦的 [安全性選項 - 帳戶] 類別中應具有指定群組原則設定,以限制空白密碼和來賓帳戶狀態下的本機帳戶使用方式。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 稽核」的需求 | Windows 電腦的「安全性選項 - 稽核」類別中應有指定的群組原則設定,以強制執行稽核原則子類別,並在無法記錄安全性審核時關閉。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 裝置」的需求 | Windows 電腦的 [安全性選項 - 裝置] 類別中應具有指定群組原則設定,以在不登入的情況下進行卸除、安裝列印驅動程式,以及格式化/退出媒體。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 互動式登入」的需求 | Windows 電腦的 [安全性選項 - 互動式登入] 類別中應具有指定的群組原則設定,以顯示最後一個使用者名稱,並要求使用 ctrl-alt-del。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - Microsoft 網路用戶端」的需求 | Windows 電腦的 [安全性選項 - Microsoft 網路用戶端] 類別中應具有指定的群組原則設定,以用於 Microsoft 網路用戶端/伺服器和 SMB v1。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求 | Windows 電腦在 [安全性選項 - Microsoft 網路伺服器] 類別中應具有指定的 [群組原則] 設定,才能停用 SMB v1 伺服器。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 網路存取」的需求 | Windows 電腦的 [安全性選項 - 網路存取] 類別中應具有指定的群組原則設定,以包含匿名使用者的存取、本機帳戶及登錄的遠端存取。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | Windows 電腦在 [安全性選項 - 網路安全性] 類別中應具有指定的 [群組原則] 設定,以便包含本機系統行為、PKU2U、LAN Manager、LDAP 用戶端和 NTLM SSP。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 修復主控台」的需求 | Windows 電腦的 [安全性選項 - 復原主控台] 類別中應該有指定的群組原則設定,以允許對所有磁碟機和資料夾進行軟碟複製和存取。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 關機」的需求 | Windows 電腦的 [安全性選項 - 關閉] 類別中應具有指定的群組原則設定,以允許在不登入的情況下關機,以及清除虛擬記憶體分頁檔。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 系統物件」的需求 | Windows 電腦的 [安全性選項 - 系統物件] 類別中應具有指定的群組原則設定,以因應非 Windows 子系統和內部系統物件權限的大小寫區分。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 系統設定」的需求 | Windows 電腦的 [安全性選項 - 系統設定] 類別中應具有指定的群組原則設定,以在SRP 和選擇性子系統的可執行檔上建立憑證規則。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | Windows 電腦的 [安全性選項 - 使用者帳戶控制] 類別中應該有指定的群組原則設定,以用於管理員模式、提高權限提示行為及虛擬化檔案和登錄寫入失敗。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 | Windows 電腦的 [安全性設定 - 帳戶原則] 類別中應具有指定的群組原則設定,以取得密碼歷程記錄、存留期、長度、複雜度,以及使用可還原的加密來儲存密碼。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 帳戶登入」的需求 | Windows 電腦的 [系統稽核原則 - 帳戶登入] 類別中應具有指定的群組原則設定,以用於稽核認證驗證和其他帳戶登入事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 帳戶管理」的需求 | Windows 電腦的「系統稽核原則 - 帳戶管理」類別中應有指定的群組原則設定,以用於稽核應用程式、安全性和使用者群組管理及其他管理事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | Windows 電腦的「系統稽核原則 - 詳細追蹤」類別中應有指定的群組原則設定,以用於稽核 DPAPI、程序建立/終止、RPC 事件和 PNP 活動。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 登入-登出」的需求 | Windows 電腦的 [系統稽核原則 - 登入-登出] 類別中應具有指定的群組原則設定,以用於稽核 IPSec、網路原則、宣告、帳戶鎖定、群組成員資格,以及登入/登出事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 物件存取」的需求 | Windows 電腦的 [系統稽核原則 - 物件存取] 類別中應具有指定的群組原則設定,以用於稽核檔案、登錄、SAM、儲存體、篩選、核心和其他系統類型。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 原則變更」的需求 | Windows 電腦的 [系統稽核原則 - 原則變更] 類別中應具有指定的群組原則設定,以用於稽核系統稽核原則的變更。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 | Windows 電腦的 [系統稽核原則 - 特殊權限使用] 類別中應具有指定的群組原則設定,以用於稽核非敏感性和其他特殊權限的使用。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統稽核原則 - 系統」的需求 | Windows 電腦的 [系統稽核原則 - 系統] 類別中應具有指定的群組原則設定,以用於稽核 IPsec 驅動程式、系統完整性、系統擴充、狀態變更和其他系統事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「使用者權限指派」的需求 | Windows 電腦的「使用者權限指派」類別中應具有指定的群組原則設定,以允許本機登入、RDP、從網路存取,以及其他許多使用者活動。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「Windows 元件」的需求 | Windows 電腦的 [Windows 元件] 類別中應具有指定的群組原則設定,以用於基本驗證、未加密流量、Microsoft 帳戶、遙測、Cortana 和其他 Windows 行為。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「Windows 防火牆屬性」的需求 | Windows 電腦的 [Windows 防火牆內容] 類別中應具有指定的群組原則設定,以用於防火牆狀態、連線、規則管理和通知。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 電腦應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支援此定義。 使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。 減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。 如果有本機使用者帳戶已啟用但是未列在原則參數中,則機器不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。 | 雖然虛擬機器的 OS 和資料磁碟預設會使用平台受控金鑰進行待用加密;但是資源磁碟 (暫存磁碟)、資料快取以及計算與儲存體資源之間的資料流動不會加密。 使用 Azure 磁碟加密或 EncryptionAtHost 來補救。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應項目。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.1.1 |
HDInsight
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure HDInsight 叢集應插入虛擬網路 | 在虛擬網路中插入 Azure HDInsight 叢集,即可解放進階的 HDInsight 網路與安全性功能,並為您提供網路安全性設定的控制權。 | 稽核、停用、拒絕 | 1.0.0 |
Azure HDInsight 叢集應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure HDInsight 叢集的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/hdi.cmk。 | Audit, Deny, Disabled | 1.0.1 |
Azure HDInsight 叢集應使用主機加密來加密待用資料 | 啟用主機上的加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 當您啟用主機上的加密時,儲存在 VM 主機上的資料會在待用時加密,並將流量加密至儲存體服務。 | Audit, Deny, Disabled | 1.0.0 |
Azure HDInsight 叢集在傳輸時應使用加密,對 Azure HDInsight 叢集節點之間的通訊進行加密 | 在 Azure HDInsight 叢集節點之間傳輸期間,資料可能會遭到竄改。 啟用傳輸中加密可解決在此傳輸期間誤用和竄改的問題。 | Audit, Deny, Disabled | 1.0.0 |
Azure HDInsight 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 您可以將私人端點對應至 Azure HDInsight 叢集,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/hdi.pl。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure HDInsight 叢集,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure HDInsight 叢集進行解析。 深入了解:https://aka.ms/hdi.pl。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure HDInsight 叢集 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至 Azure HDInsight 叢集,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/hdi.pl。 | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Health Bot 應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰 (CMK) 來管理 Healthbot 資料的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有 CMK 才能符合法規合規性標準。 CMK 可讓您使用自己建立並擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://docs.microsoft.com/azure/health-bot/cmk | Audit, Disabled | 1.0.0 |
健康資料服務工作區
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 健康資料服務工作區應使用私人連結 | 健康資料服務工作區應至少有一個已核准的私人端點連線。 虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。 如需詳細資訊,請瀏覽:https://aka.ms/healthcareapisprivatelink。 | Audit, Disabled | 1.0.0 |
健康情況去身分識別服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 健康資料服務去身分識別服務應該停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以限制資源的曝光狀況。 | Audit, Disabled | 1.0.0 |
Azure 健康資料服務去身分識別服務應該使用私人連結 | Azure 健康資料服務去身分識別服務應該至少有一個已核准的私人端點連線。 虛擬網路中的用戶端可以安全地存取透過私人連結而擁有私人端點連線的資源。 | Audit, Disabled | 1.0.0 |
Healthcare API
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
CORS 不應允許每個網域存取您的 FHIR 服務 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的 FHIR 服務。 若要保護您的 FHIR 服務,請移除所有網域的存取權,並明確定義允許連線的網域。 | 稽核、稽核、停用、停用 | 1.1.0 |
DICOM 服務應使用客戶自控金鑰為待用資料加密 | 若需要符合法規或合規性需求,請使用客戶自控金鑰來控制 Azure 健康資料服務 DICOM 服務中儲存的待用資料加密。 客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Disabled | 1.0.0 |
FHIR 服務應使用客戶自控金鑰為待用資料加密 | 若需要符合法規或合規性需求,請使用客戶自控金鑰來控制 Azure 健康資料服務 FHIR 服務中儲存的待用資料加密。 客戶管理的金鑰也會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Disabled | 1.0.0 |
物聯網
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure IoT 中樞應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰加密 IoT 中樞的待用資料,會在預設服務自控金鑰之上新增第二層加密,讓客戶能夠控制金鑰、自訂輪替原則,以及透過金鑰存取控制管理資料的存取權。 客戶自控金鑰必須在 IoT 中樞建立期間設定。 如需如何設定客戶自控金鑰的詳細資訊,請參閱https://aka.ms/iotcmk。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽版]:IoT 中樞裝置佈建服務資料應使用客戶自控金鑰 (CMK) 進行加密 | 使用客戶自控金鑰來管理 IoT 中樞裝置佈建服務的待用加密。 會使用服務代控金鑰進行待用加密,但若要遵循法規標準,通常需要有客戶自控金鑰 (CMK)。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 在 https://aka.ms/dps/CMK 深入了解 CMK 加密。 | Audit, Deny, Disabled | 1.0.0-preview |
Azure Device Update 帳戶應該使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰加密 Azure Device Update 的待用資料,會在預設服務自控金鑰之上新增第二層加密,讓客戶能夠控制金鑰、自訂輪替原則,以及透過金鑰存取控制管理資料的存取權。 在以下位置深入了解:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption。 | Audit, Deny, Disabled | 1.0.0 |
IoT 中樞帳戶的 Azure 裝置更新應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至 IoT 中樞 Azure Device Update 帳戶,資料外洩風險就會降低。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure IoT 中樞應停用服務 API 的本機驗證方法 | 停用本機驗證方法可確保 Azure IoT 中樞僅需要 Azure Active Directory 身分識別進行 Service Api 驗證,以提升安全性。 深入了解:https://aka.ms/iothubdisablelocalauth。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure IoT 中樞裝置更新帳戶,以停用公用網路存取 | 停用公用網路存取屬性可確保您的 IoT 中樞裝置更新只能從私人端點存取,進而改善安全性。 此原則會停用 IoT 中樞裝置更新資源的公用網路存取。 | 修改、停用 | 1.0.0 |
設定 Azure IoT 中樞裝置更新帳戶以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會針對 IoT 中樞私人端點的裝置更新部署私人 DNS 區域。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure IoT 中樞裝置更新帳戶 | 私人端點是在客戶自用虛擬網路內配置的私人 IP 位址,可透過來連線到 Azure 資源。 此原則可為 IoT 中樞裝置更新部署私人端點,以允許虛擬網路內的服務連線到此資源,而不需要將流量傳送至 IoT 中樞裝置更新的公用端點。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure IoT 中樞以停用本機驗證 | 停用本機驗證方法,讓您的 Azure IoT 中樞一定要使用 Azure Active Directory 身分識別來進行驗證。 深入了解:https://aka.ms/iothubdisablelocalauth。 | 修改、停用 | 1.0.0 |
設定 IoT 中樞裝置佈建執行個體以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure IoT 中樞裝置佈建服務執行個體進行解析。 深入了解:https://aka.ms/iotdpsvnet。 | DeployIfNotExists, Disabled | 1.0.0 |
設定 IoT 中樞裝置佈建服務執行個體以停用公用網路存取 | 停用 IoT 中樞裝置佈建執行個體的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/iotdpsvnet。 | 修改、停用 | 1.0.0 |
使用私人端點設定 IoT 中樞裝置佈建服務執行個體 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 設定 Azure IoT 中樞以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會針對 IoT 中樞私人端點部署私人 DNS 區域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
部署 - 使用私人端點設定 Azure IoT 中樞 | 私人端點是在客戶自用虛擬網路內配置的私人 IP 位址,可透過來連線到 Azure 資源。 此原則可為 IoT 中樞部署私人端點,以允許 VNet 內的服務連線到 IoT 中樞,而不需要將流量傳送至 IoT 中樞的公用端點。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 將 IoT Central 設定為使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會為 IoT Central 私人端點部署私人 DNS 區域。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 使用私人端點設定 IoT Central | 私人端點是在客戶自用虛擬網路內配置的私人 IP 位址,可透過來連線到 Azure 資源。 此原則可為 IoT Central 部署私人端點,以允許 VNet 內的服務連線到 IoT Central,而無須將流量傳送至 IoT Central 的公用端點。 | DeployIfNotExists, Disabled | 1.0.0 |
IoT Central 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 IoT Central 應用程式 (而非整個服務),可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/iotcentral-network-security-using-pe。 | Audit, Deny, Disabled | 1.0.0 |
IoT 中樞裝置佈建服務執行個體應停用公用網路存取 | 停用公用網路存取,可確保 IoT 中樞裝置佈建服務執行個體不會在公用網際網路上公開,進而改善安全性。 建立私人端點可以限制 IoT 中樞裝置佈建執行個體的曝光。 深入了解:https://aka.ms/iotdpsvnet。 | Audit, Deny, Disabled | 1.0.0 |
IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
修改 - 設定 Azure IoT 中樞以停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure IoT 中樞只能從私人端點存取,從而提高安全性。 此原則會停用 IoT 中樞資源的公用網路存取。 | 修改、停用 | 1.0.0 |
修改 - 設定 IoT Central 以停用公用網路存取 | 停用公用網路存取屬性可確保您的 IoT Central 只能從私人端點存取,從而提高安全性。 此原則會停用 IoT 中樞資源的公用網路存取。 | 修改、停用 | 1.0.0 |
應為 IoT 中樞啟用私人端點 | 私人端點連線透過啟用 Azure IoT 中樞的私人連線,強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | Audit, Disabled | 1.0.0 |
應停用 Azure IoT 中樞裝置更新帳戶的公用網路存取 | 停用公用網路存取屬性可確保只能從私人端點存取 Azure IoT 中樞裝置更新帳戶,進而提高安全性。 | Audit, Deny, Disabled | 1.0.0 |
應停用 Azure IoT 中樞上的公用網路存取 | 停用公用網路存取屬性可確保您的 Azure IoT 中樞只能從私人端點存取,從而提高安全性。 | Audit, Deny, Disabled | 1.0.0 |
應為 IoT Central 停用公用網路存取 | 若要改善 IoT Central 的安全性,請確定並未將其公開至公用網際網路,而只能從私人端點加以存取。 停用公用網路存取屬性,如 https://aka.ms/iotcentral-restrict-public-access 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 IoT 中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure Key Vault 受控 HSM 金鑰應具有到期日 | 若要在預覽中使用此原則,您必須先遵循以下位置的這些指示:https://aka.ms/mhsmgovernance。 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:Azure Key Vault 受控 HSM 金鑰在到期日前應具有大於指定的天數 | 若要在預覽中使用此原則,您必須先遵循以下位置的這些指示:https://aka.ms/mhsmgovernance。 如果金鑰太接近到期日,則組織若延遲輪替金鑰,可能會導致中斷。 金鑰應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:使用橢圓曲線加密的 Azure Key Vault 受控 HSM 金鑰應具有指定的曲線名稱 | 若要在預覽中使用此原則,您必須先遵循以下位置的這些指示:https://aka.ms/mhsmgovernance。 由橢圓曲線密碼編譯支援的金鑰可以有不同的曲線名稱。 有些應用程式只與特定的橢圓曲線金鑰相容。 強制執行可在您環境中建立的橢圓曲線金鑰類型。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:使用 RSA 加密的 Azure Key Vault 受控 HSM 金鑰應有指定的金鑰大小下限 | 若要在預覽中使用此原則,您必須先遵循以下位置的這些指示:https://aka.ms/mhsmgovernance。 設定允許與金鑰保存庫搭配使用的最小金鑰大小。 使用小型金鑰的 RSA 金鑰並不是安全的做法,也不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1-preview |
[預覽]:Azure Key Vault 受控 HSM 應停用公用網路存取 | 停用 Azure Key Vault 受控 HSM 的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure Key Vault 受控 HSM 應該使用私人連結 | 私人連結提供不需透過公用網際網路傳送流量即可將 Azure Key Vault 受控 HSM 連線至 Azure 資源的方法。 私人連結提供深層防禦保護,以防止資料外流。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
[預覽]:憑證應由指定的非整合式憑證授權單位發行 | 藉由指定可在金鑰保存庫中發行憑證的自訂或內部憑證授權單位,來管理您的組織合規性需求。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:將 Azure Key Vault 受控 HSM 設為停用公用網路存取 | 停用 Azure Key Vault 受控 HSM 的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | 修改、停用 | 2.0.0-preview |
[預覽]:使用私人端點設定 Azure Key Vault 受控 HSM | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至 Azure Key Vault 受控 HSM,藉此降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。 | DeployIfNotExists, Disabled | 1.0.0-preview |
Azure Key Vault 受控 HSM 應啟用清除保護 | 惡意刪除 Azure Key Vault 受控 HSM 可能會導致永久的資料遺失。 您組織中可能有惡意的內部人員能夠刪除和清除 Azure Key Vault 受控 HSM。 清除保護可對虛刪除的 Azure Key Vault 受控 HSM 強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的 Azure Key Vault 受控 HSM。 | Audit, Deny, Disabled | 1.0.0 |
Azure Key Vault 應停用公用網路存取 | 停用金鑰保存庫的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/akvprivatelink。 | Audit, Deny, Disabled | 1.1.0 |
Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍以限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Azure Key Vault 應該使用 RBAC 權限模型 | 啟用跨 Key Vault 的 RBAC 權限模型。 深入了解:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
憑證應由指定的整合式憑證授權單位發行 | 藉由指定可在金鑰保存庫中發行憑證的 Azure 整合式憑證授權單位 (例如 Digicert 或 GlobalSign),來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應由指定的非整合式憑證授權位單位發行 | 藉由指定可在金鑰保存庫中發行憑證的一個自訂或內部憑證授權單位,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應具有指定的存留期動作觸發程序 | 指定憑證存留期動作要在達到其存留期的特定百分比時觸發,或在到期前特定天數時觸發,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
憑證不應在指定的天數內到期 | 管理將在指定天數內到期的憑證,以確保到期之前,您的組織有足夠的時間輪替憑證。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應使用允許的金鑰類型 | 限制允許憑證使用的金鑰類型,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用橢圓曲線密碼編譯的憑證應該有允許的曲線名稱 | 針對金鑰保存庫中儲存的 ECC 憑證,管理允許的橢圓曲線名稱。 如需詳細資訊,請參閱 https://aka.ms/akvpolicy。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小 | 為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
設定 Azure Key Vault 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對金鑰保存庫進行解析。 深入了解:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
使用私人端點設定 Azure Key Vault | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
設定金鑰保存庫以啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 接著,您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改、停用 | 1.1.1 |
部署 - 進行 Azure Key Vault 到 Log Analytics 工作區的診斷設定 | 當建立或更新的 Key Vault,缺少讓 Azure Key Vault 將資源記錄串流至 Log Analytics 工作區的診斷設定時,就部署此診斷設定。 | DeployIfNotExists, Disabled | 2.0.1 |
部署 - 對事件中樞進行診斷設定,以在 Azure Key Vault 受控 HSM 上啟用 | 針對 Azure Key Vault 受控 HSM 部署診斷設定,以在建立或更新任何缺少此診斷設定的 Azure Key Vault 受控 HSM 時,將該診斷設定串流至區域事件中樞。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Key Vault 的診斷設定部署至事件中樞 | 針對 Key Vault 部署診斷設定,以在任何缺少此診斷設定的 Key Vault 建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 3.0.1 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫依預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
金鑰應採用硬體安全性模組 (HSM) | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。 若沒有提供比軟體金鑰更高層級的安全性,密碼編譯金鑰無法離開實體 HSM。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應為指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用由特定密碼編譯類型支援的金鑰。 在您環境中強制執行特定密碼編譯的金鑰類型 (RSA 或 EC)。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應該有輪替原則,以確保其輪替排程在建立後的指定天數內。 | 指定金鑰建立後直到必須輪替為止的天數上限,以管理組織的合規性需求。 | Audit, Disabled | 1.0.0 |
金鑰的天數應大於指定的到期前天數 | 如果金鑰太接近到期日,則組織若延遲輪替金鑰,可能會導致中斷。 金鑰應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應具有指定的最大有效期間 | 藉由指定金鑰可在金鑰保存庫內的有效期間上限 (以天為單位),來管理組織的合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
金鑰的使用時間不應超過指定天數 | 指定金鑰應使用的天數。 長時間使用的金鑰會增加攻擊者危害金鑰的機率。 作為良好的安全性做法,請確定您的金鑰有效期未超過兩年。 | Audit, Deny, Disabled | 1.0.1 |
使用橢圓曲線密碼編譯的金鑰應具有指定的曲線名稱 | 由橢圓曲線密碼編譯支援的金鑰可以有不同的曲線名稱。 有些應用程式只與特定的橢圓曲線金鑰相容。 強制執行可在您環境中建立的橢圓曲線金鑰類型。 | Audit, Deny, Disabled | 1.0.1 |
使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小 | 設定允許與金鑰保存庫搭配使用的最小金鑰大小。 使用小型金鑰的 RSA 金鑰並不是安全的做法,也不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1 |
應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 若要在發生安全性事件或網路遭到入侵時,重新建立活動軌跡以供調查之用,您可能會想要在受控 HSM 上啟用資源記錄來進行稽核。 請遵照這裡的指示進行:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists, Disabled | 1.1.0 |
應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
祕密應設定內容類型 | 內容類型標記可協助識別祕密是否為密碼、連接字串等。不同的祕密有不同的輪替需求。 內容類型標記應設定於祕密上。 | Audit, Deny, Disabled | 1.0.1 |
祕密的天數應大於指定的到期前天數 | 如果祕密太接近到期日,則組織若延遲輪替祕密,可能會導致中斷。 祕密應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
祕密應具有指定的最大有效期間 | 藉由指定祕密可在金鑰保存庫內的有效期間上限 (以天為單位),來管理組織的合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
祕密的使用時間不應超過指定天數 | 如果您的祕密在建立時,設定了未來的啟用日期,則您必須確保祕密的使用時間不超過指定的持續時間。 | Audit, Deny, Disabled | 1.0.1 |
Kubernetes
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:[映像完整性] Kubernetes 叢集應該只使用以標記法簽署的映像 | 使用以標記法簽署的映像,以確保映像來自受信任的來源,且不會遭到惡意修改。 如需詳細資訊,請造訪 https://aka.ms/aks/image-integrity | Audit, Disabled | 1.1.0-preview |
[預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
[預覽]:無法編輯個別節點 | 無法編輯個別節點。 使用者不應該編輯個別節點。 請編輯節點集區。 修改個別節點可能會導致設定不一致、操作挑戰和潛在的安全性風險。 | Audit, Deny, Disabled | 1.3.0-preview |
[預覽]:設定已啟用 Azure Arc 的 Kubernetes 叢集以安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | DeployIfNotExists, Disabled | 7.3.0-preview |
[預覽]:在 Azure Kubernetes Service 上部署映像完整性 | 部署映像完整性和原則附加元件 Azure Kubernetes 叢集。 如需詳細資訊,請造訪 https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-preview |
[預覽]:Kubernetes 叢集容器映像必須包含 preStop 勾點 | 需要容器映像包含 preStop 勾點,以在 Pod 關機期間正常終止程序。 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]:Kubernetes 叢集容器映像不應包含最新的映像標籤 | 需要容器映像在 Kubernetes 中不使用最新的標籤,最佳做法是確保重現性、防止非預期的更新,以及使用明確和已設定版本的容器映像,更輕鬆地偵錯和復原。 | Audit, Deny, Disabled | 1.1.0-preview |
[預覽]:Kubernetes 叢集容器應該只在映像提取祕密存在時提取映像 | 限制容器的映像提取,以強制 ImagePullSecrets 存在,確保 Kubernetes 叢集內映像的安全和授權存取 | Audit, Deny, Disabled | 1.2.0-preview |
[預覽]:Kubernetes 叢集服務應該使用唯一選取器 | 請確定命名空間中的服務具有唯一的選取器。 唯一的服務選取器可確保命名空間中的每個服務都根據特定準則進行唯一識別。 此原則會透過 Gatekeeper 將輸入資源同步處理到 OPA。 套用之前,請確認 Gatekeeper Pod 記憶體容量不會超過。 參數會套用至特定命名空間,但其會跨所有命名空間同步處理該類型的所有資源。 目前針對 Kubernetes Service (AKS) 為預覽階段。 | Audit, Deny, Disabled | 1.2.0-preview |
[預覽]:Kubernetes 叢集應該實作精確的 Pod 中斷預算 | 防止錯誤的 Pod 中斷預算,確保最少的作業 Pod 數目。 如需詳細資訊,請參閱官方 Kubernetes 文件。 依賴 Gatekeeper 資料複寫,並將其範圍內的所有輸入資源同步處理到 OPA。 套用此原則之前,請確定同步處理的輸入資源不會對您的記憶體容量造成負擔。 雖然參數會評估特定命名空間,但跨命名空間的所有該類型資源都會同步處理。注意:目前針對 Kubernetes Service (AKS) 為預覽階段。 | Audit, Deny, Disabled | 1.3.0-preview |
[預覽]:Kube 叢集應限制指定資源類型的建立 | 指定的 Kube 資源類型不應部署在特定命名空間中。 | Audit, Deny, Disabled | 2.3.0 預覽 |
[預覽]:必須設定反親和性規則 | 此原則可確保 Pod 排程在叢集內的不同節點上。 藉由強制執行反親和性規則,即使其中一個節點變得無法使用,仍會維護可用性。 Pod 會繼續在其他節點上執行,增強復原能力。 | Audit, Deny, Disabled | 1.2.0-preview |
[預覽]: 將 K8s 容器變動以卸除所有功能 | 將 securityContext.capabilities.drop 變更為在 "ALL" 中新增。 這會卸除 k8s Linux 容器的所有功能 | Mutate, Disabled | 1.1.0-preview |
[預覽]: 將 K8s Init 容器變動以卸除所有功能 | 將 securityContext.capabilities.drop 變更為在 "ALL" 中新增。 這會卸除 k8s linux init 容器的所有功能 | Mutate, Disabled | 1.1.0-preview |
[預覽]:沒有 AKS 特定標籤 | 防止客戶套用 AKS 特定標籤。 AKS 會使用前面加上 kubernetes.azure.com 的標籤來表示 AKS 擁有的元件。 客戶不應該使用這些標籤。 |
Audit, Deny, Disabled | 1.2.0-preview |
[預覽]:將 runAsNotRoot 設定為 true,防止容器以 root 身分執行。 | 將 runAsNotRoot 設定為 true 可藉由防止容器以 root 身分執行來提高安全性。 | Mutate, Disabled | 1.0.0-preview |
[預覽]:將 runAsNotRoot 設定為 true,防止 Init 容器以 root 身分執行。 | 將 runAsNotRoot 設定為 true 可藉由防止容器以 root 身分執行來提高安全性。 | Mutate, Disabled | 1.0.0-preview |
[預覽]:如果套用突變,列印訊息 | 查閱套用的突變註釋,並在註釋存在時列印訊息。 | Audit, Disabled | 1.1.0-preview |
[預覽]:已保留系統集區污點 | 將 CriticalAddonsOnly 污點限制為僅系統集區。 AKS 會使用 CriticalAddonsOnly 污點讓客戶 Pod 遠離系統集區。 可確保 AKS 元件與客戶 Pod 之間的清楚區隔,並防止客戶 Pod 在不允許 CriticalAddonsOnly 污點時被收回。 | Audit, Deny, Disabled | 1.2.0-preview |
[預覽]:將 CriticalAddonsOnly 污點限制為僅系統集區。 | 為了避免將使用者應用程式從使用者集區收回,並維護使用者與系統集區之間的分開考量,'CriticalAddonsOnly' 污點不應套用至使用者集區。 | Mutate, Disabled | 1.2.0-preview |
[預覽]:將容器中 Pod 規格中的 automountServiceAccountToken 設定為 false。 | 藉由避免預設自動掛接服務帳戶權杖,將 automountServiceAccountToken 設定為 false 會增加安全性 | Mutate, Disabled | 1.1.0-preview |
[預覽]:將 Kubernetes 叢集容器 securityContext.runAsUser 欄位設定為 1000,非根使用者識別碼 | 減少因存在安全性弱點而提升根使用者的權限所帶來的攻擊面。 | Mutate, Disabled | 1.0.0-preview |
[預覽]:如果不存在,將 Kubernetes 叢集容器 CPU 限制設定為預設值。 | 設定容器 CPU 限制,以防止 Kubernetes 叢集中的資源消耗攻擊。 | Mutate, Disabled | 1.2.0-preview |
[預覽]:如果不存在,將 Kubernetes 叢集容器記憶體限制設定為預設值。 | 設定容器記憶體限制,以防止 Kubernetes 叢集中的資源消耗攻擊。 | Mutate, Disabled | 1.2.0-preview |
[預覽]:如果不存在,將 Kubernetes 叢集容器的安全運算模式設定檔類型設定為 RuntimeDefault。 | 設定容器的安全運算模式設定檔類型,以防止未經授權的及潛在的有害系統從使用者空間呼叫核心。 | Mutate, Disabled | 1.1.0-preview |
[預覽]:將 Kubernetes 叢集 init 容器 securityContext.runAsUser 欄位設定為 1000,非根使用者識別碼 | 減少因存在安全性弱點而提升根使用者的權限所帶來的攻擊面。 | Mutate, Disabled | 1.0.0-preview |
[預覽]:如果不存在,將 Kubernetes 叢集 init 容器的安全運算模式設定檔類型設定為 RuntimeDefault。 | 設定 init 容器的安全運算模式設定檔類型,以防止未經授權的及潛在的有害系統從使用者空間呼叫核心。 | Mutate, Disabled | 1.1.0-preview |
[預覽]:將 Kubernetes 叢集 Pod securityContext.runAsUser 欄位設定為 1000,非根使用者識別碼 | 減少因存在安全性弱點而提升根使用者的權限所帶來的攻擊面。 | Mutate, Disabled | 1.0.0-preview |
[預覽]:將 podDisruptionBudget 資源的 maxUnavailable Pod 設定為 1 | 將無法使用 Pod 值上限設定為 1,可確保您的應用程式或服務在中斷期間可供使用 | Mutate, Disabled | 1.2.0-preview |
[預覽]:將 init 容器中 Pod 規格中的權限提升設定為 false。 | 藉由防止容器允許權限提升,例如透過 set-user-ID 或 set-group-ID 檔案模式,在 init 容器中將權限提升設定為 false,會增加安全性。 | Mutate, Disabled | 1.1.0-preview |
[預覽]:將 Pod 規格中的權限提升設定為 false。 | 藉由防止容器允許權限提升,例如透過 set-user-ID 或 set-group-ID 檔案模式,將權限提升設定為 false,會增加安全性。 | Mutate, Disabled | 1.1.0-preview |
[預覽]:如果未設定,則會將 init 容器中 Pod 規格的 readOnlyRootFileSystem 設定為 true。 | 將 readOnlyRootFileSystem 設定為 true 可藉由防止容器寫入根檔案系統來提高安全性。 這僅適用於 Linux 容器。 | Mutate, Disabled | 1.2.0-preview |
[預覽]:如果未設定,請將 Pod 規格中的 readOnlyRootFileSystem 設定為 true。 | 將 readOnlyRootFileSystem 設定為 true 可藉由防止容器寫入根檔案系統來提高安全性 | Mutate, Disabled | 1.2.0-preview |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應已安裝 Open Service Mesh 延伸模組 | Open Service Mesh 延伸模組提供所有標準服務網格功能,用於應用程式服務的安全性、流量管理和觀察性。 在這裡深入了解:https://aka.ms/arc-osm-doc | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Strimzi Kafka 延伸模組 | Strimzi Kafka 延伸模組提供運算子來安裝 Kafka,以建置即時資料管線,以及具有安全性與可檢視性功能的串流應用程式。 在以下位置深入了解:https://aka.ms/arc-strimzikafka-doc。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Azure Kubernetes 叢集應該停用 SSH | 停用 SSH 可讓您保護叢集並減少受攻擊面。 若要深入了解,請造訪:aka.ms/aks/disablessh | Audit, Disabled | 1.0.0 |
Azure Kubernetes 叢集應啟用容器儲存體介面 (CSI) | 容器儲存體介面 (CSI) 是將任意區塊和檔案儲存系統公開給 Azure Kubernetes Service 上容器化工作負載的標準。 若要深入了解,https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
Azure 叢集應該啟用金鑰管理服務 (KMS) | 利用金鑰管理服務 (KMS) 來加密 etcd 的待用資料,以確保 Kubernetes 叢集安全性。 深入了解:https://aka.ms/aks/kmsetcdencryption。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes 叢集應使用 Azure CNI | Azure CNI 是某些 Azure Kubernetes Service 功能的必要條件,包括 Azure 網路原則、Windows 節點集區和虛擬節點附加元件。 深入了解:https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
Azure Kubernetes Service 叢集應停用命令叫用 | 停用命令叫用可避免略過受限制的網路存取或 Kubernetes 角色型存取控制,進而增強安全性 | Audit, Disabled | 1.0.1 |
Azure Kubernetes Service 叢集應該啟用叢集自動升級 | AKS 叢集自動升級可確保叢集是最新的,且不會錯過來自 AKS 和上游 Kubernetes 的最新功能或修補程式。 深入了解:https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應該啟用 Image Cleaner | Image Cleaner 會執行自動易受攻擊、未使用映像識別和移除,以降低過時映像的風險,並減少清除映像所需的時間。 深入了解:https://aka.ms/aks/image-cleaner。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應該啟用 Microsoft Entra ID 整合 | AKS 管理的 Microsoft Entra ID 整合可以管理對叢集的存取權,方法為根據使用者的身分識別或目錄群組成員資格來配置 Kubernetes 角色型存取控制 (Kubernetes RBAC)。 深入了解:https://aka.ms/aks-managed-aad。 | Audit, Disabled | 1.0.2 |
Azure Kubernetes Service 叢集應該啟用節點 OS 自動升級 | AKS 節點 OS 自動升級會控制節點層級 OS 安全性更新。 深入了解:https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應該啟用工作負載身分識別 | 工作負載身分識別可讓您將唯一的身分識別指派給每個 Kubernetes Pod,並將其與 Azure AD 保護的資源 (例如 Azure Key Vault) 產生關聯,以從 Pod 內安全地存取這些資源。 深入了解:https://aka.ms/aks/wi。 | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 適用於容器的 Microsoft Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender | Audit, Disabled | 2.0.1 |
Azure Kubernetes Service 叢集應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Kubernetes Service 叢集應該僅需要 Azure Active Directory 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/aks-disable-local-accounts。 | Audit, Deny, Disabled | 1.0.1 |
Azure Kubernetes Service 叢集應使用受控識別 | 使用受控識別來包裝服務主體、簡化叢集管理,並避免受管理的服務主體所需的複雜性。 深入了解:https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
應啟用 Azure Kubernetes Service 私人叢集 | 為您的 Azure Kubernetes Service 叢集啟用私人叢集功能,以確保 API 伺服器與節點集區之間的網路流量只會保留在私人網路上。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
請設定已啟用 Azure Arc 的 Kubernetes 叢集,以安裝 Azure 原則延伸模組 | 部署 Azure Arc 的 Azure 原則延伸模組以提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 請至https://aka.ms/akspolicydoc,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure Kubernetes Service 叢集以啟用 Defender 設定檔 | 適用於容器的 Microsoft Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.Defender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請深入了解適用於容器的 Microsoft Defender:https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists, Disabled | 4.3.0 |
設定 Kubernetes 叢集上的 Flux 延伸模組安裝 | 在 Kubernetes 叢集安裝 Flux 延伸模組,以在叢集中啟用 'fluxconfigurations' 部署 | DeployIfNotExists, Disabled | 1.0.0 |
使用 KeyVault 中的貯體來源和祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。 此定義需要 Key Vault 中儲存的貯體 SecretKey。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和 HTTPS CA 憑證,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 HTTPS CA 憑證。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.1 |
使用 Git 存放庫和 HTTPS 祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Key Vault 中儲存的 HTTPS 金鑰祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和本機祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用 Git 存放庫和 SSH 祕密,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要 Key Vault 中儲存的 SSH 私密金鑰祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用公用 Git 存放庫,以 Flux v2 設定來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義不需要任何祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用本機祕密,以指定的 Flux v2 Bucket 來源來設定 Kubernetes 叢集 | 將 'fluxConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的貯體取得其真實來源。 此定義需要 Kubernetes 叢集中儲存的本機驗證祕密。 如需指示,請瀏覽 https://aka.ms/GitOpsFlux2Policy。 | DeployIfNotExists, Disabled | 1.0.0 |
使用採用 HTTPS 祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要儲存在金鑰保存庫中的 HTTPS 使用者和金鑰密碼。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用未使用祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義不需要任何祕密。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
使用採用 SSH 祕密的指定 GitOps 設定,設定 Kubernetes 叢集 | 將 'sourceControlConfiguration' 部署到 Kubernetes 叢集,確保叢集會對於工作負載和設定從定義的 Git 存放庫取得其真實來源。 此定義需要在金鑰保存庫中使用 SSH 私密金鑰密碼。 如需指示,請瀏覽 https://aka.ms/K8sGitOpsPolicy。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
設定 Microsoft Entra ID 整合式 Azure Container Service 叢集,使其具有必要的系統管理員群組存取權 | 集中管理對 Microsoft Entra ID 整合式 AKS 叢集的系統管理員存取,以確保改善叢集安全性。 | DeployIfNotExists, Disabled | 2.1.0 |
在 Azure Kubernetes 叢集上設定節點 OS 自動升級 | 使用節點 OS 自動升級來控制 Azure Kubernetes Service (AKS) 叢集的節點層級 OS 安全性更新。 如需詳細資訊,請瀏覽 https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image。 | DeployIfNotExists, Disabled | 1.0.1 |
部署 - 進行 Azure Kubernetes Service 到 Log Analytics 工作區的診斷設定 | 部署診斷設定,讓 Azure Kubernetes Service 將資源記錄串流到 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 3.0.0 |
將 Azure 原則附加元件部署至 Azure Kubernetes Service 叢集 | 使用 Azure 原則附加元件來管理和報告 Azure Kubernetes Service (AKS) 叢集的合規性狀態。 如需詳細資訊,請參閱https://aka.ms/akspolicydoc。 | DeployIfNotExists, Disabled | 4.1.0 |
在 Azure Kubernetes Service 上部署 Image Cleaner | 在 Azure Kubernetes 叢集上部署 Image Cleaner。 如需詳細資訊,請造訪 https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
部署計劃性維護來排程和控制 Azure Kubernetes Service (AKS) 叢集的升級 | 計劃性維護可讓您排程每週維護時段來執行更新,並將工作負載影響降到最低。 排程之後,只會在您選取的時段進行升級。 深入了解:https://aka.ms/aks/planned-maintenance | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
停用 Azure Kubernetes Service 叢集上的命令叫用 | 停用命令叫用可拒絕對叢集的叫用命令存取,從而增強安全性 | DeployIfNotExists, Disabled | 1.2.0 |
請確認叢集容器已設定整備或活躍度探查 | 此原則會強制所有 Pod 都已設定整備度探查和/或活躍度探查。 探查類型可以是任何 tcpSocket、HTTPGet 和 exec 任一個。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需使用此原則的指示,請造訪 https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.3.0 |
容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
Kubernetes 叢集中的容器不得使用禁止的 sysctl 介面 | 容器不應在 Kubernetes 叢集中使用禁止的 sysctl 介面。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
Kubernetes 叢集中的容器只能使用允許的 ProcMountType | Pod 容器只能在 Kubernetes 叢集中使用允許的 ProcMountTypes。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
Kubernetes 叢集容器應只使用允許的提取原則 | 限制容器的提取原則略,以強制容器在部署上只使用允許的映像 | Audit, Deny, Disabled | 3.2.0 |
Kubernetes 叢集中的容器只能使用允許的 seccomp 設定檔 | Pod 容器只會在 Kubernetes 叢集中使用允許的 seccomp 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.3.0 |
Kubernetes 叢集中的 Pod FlexVolume 磁碟區只能使用允許的驅動程式 | Pod FlexVolume 磁碟區只能在 Kubernetes 叢集中使用允許的驅動程式。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集 Pod 及容器只應使用允許的 SELinux 選項 | Pod 和容器只能在 Kubernetes 叢集中使用允許的 SELinux 選項。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
Kubernetes 叢集中的 Pod 只能使用允許的磁碟區類型 | Pod 在 Kubernetes 叢集中只會使用允許的磁碟區類型。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集 Pod 應使用指定的標籤 | 使用指定的標籤來識別 Kubernetes 叢集中的 Pod。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
Kubernetes 叢集服務只可使用允許的外部 IP | 使用允許的外部 IP 來避免 Kubernetes 叢集中的潛在攻擊 (CVE-2020-8554)。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集不應使用裸 Pod | 封鎖使用祼 Pod。 若節點失敗,不會重新排程祼 Pod。 Pod 應由 Deployment、Replicset、Daemonset 或 Jobs 管理 | Audit, Deny, Disabled | 2.3.0 |
Kubernetes 叢集 Windows 容器不應過度認可 CPU 與記憶體 | Windows 容器資源要求應小於或等於資源限制或未指定,以避免過度認可。 如果 Windows 記憶體佈建過多,則會處理磁碟中的分頁,這樣會降低效能,而不是終止記憶體不足的容器 | Audit, Deny, Disabled | 2.2.0 |
Kubernetes 叢集視窗容器不應以容器管理員身分執行 | 避免以使用者身分利用容器管理員來執行 Windows Pod 或容器的容器處理序。 這個建議目的在於提高 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | Audit, Deny, Disabled | 1.2.0 |
Kubernetes 叢集 Windows 容器應只使用核准的使用者與網域使用者群組執行 | 控制 Windows Pod 和容器可用來在 Kubernetes 叢集中執行的使用者。 此建議是 Windows 節點上 Pod 安全性原則的一部分,其目的是為了改善 Kubernetes 環境的安全性。 | Audit, Deny, Disabled | 2.2.0 |
Kubernetes 叢集 Windows Pod 不應該執行 HostProcess 容器 | 防止對 Windows 節點的特殊權限存取。 這個建議目的在於提高 Windows 節點的安全性。 如需詳細資訊,請參閱https://kubernetes.io/docs/concepts/windows/intro/。 | Audit, Deny, Disabled | 1.0.0 |
Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
Kubernetes 叢集應該確定僅於需要時才使用叢集管理員角色 | 角色「cluster-admin」提供廣泛的環境權力,只應在需要的位置和時機使用。 | Audit, Disabled | 1.1.0 |
Kubernetes 叢集應該將角色和叢集角色中的萬用字元使用降到最低 | 使用萬用字元「*」可能是安全性風險,因為其授與特定角色可能不需要的廣泛權限。 如果角色具有太多權限,攻擊者或遭入侵使用者可能會濫用,以取得叢集中資源的未經授權存取權。 | Audit, Disabled | 1.1.0 |
Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
Kubernetes 叢集不應允許 ClusterRole/system: 彙總到編輯的端點編輯權限 | 因為 CVE-2021-25740,ClusterRole/system:aggregate-to-edit 不應該允許端點編輯權限,端點與 EndpointSlice 權限允許跨命名空間轉寄,https://github.com/kubernetes/kubernetes/issues/103675。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Disabled | 3.2.0 |
Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應使用特定的安全性功能 | 避免使用 Kubernetes 叢集中的特定安全性功能,以防止未授與權限存取 Pod 資源。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
Kubernetes 叢集應使用容器儲存體介面 (CSI) 驅動程式 StorageClass | 容器儲存體介面 (CSI) 是一種標準,可對 Kubernetes 上的容器化工作負載公開任意區塊及檔案儲存體系統。 樹狀結構內佈建程式 StorageClass 應自 AKS 1.21 版起淘汰。 若要深入了解,https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
Kubernetes 叢集應使用內部負載平衡器 | 使用內部負載平衡器讓 Kubernetes 服務僅供在與 Kubernetes 叢集相同的虛擬網路中執行的應用程式存取。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
Kubernetes 資源應該有必要的注釋 | 請確保已在指定的 Kubernetes 資源種類上附加必要的注釋,以改善您 Kubernetes 資源的資源管理。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | Audit, Deny, Disabled | 3.2.0 |
應啟用 Azure Kubernetes Service 中的資源記錄 | Azure Kubernetes Service 的資源記錄有助於在調查安全性事件時重新建立活動線索。 將其啟用以確定記錄會在需要時存在 | AuditIfNotExists, Disabled | 1.0.0 |
在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 為了增強資料安全性,儲存在 Azure Kubernetes Service 節點 VM 的虛擬機器 (VM) 主機上的資料,應該進行待用加密。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
實驗室服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Lab Services 應該啟用自動關機的所有選項 | 此原則會強制執行實驗室啟用的所有自動關機選項,以利進行成本管理。 | Audit, Deny, Disabled | 1.1.0 |
Lab Services 不應該允許實驗室的範本虛擬機器 | 此原則可防止透過 Lab Services 管理的實驗室建立和自訂範本虛擬機器。 | Audit, Deny, Disabled | 1.1.0 |
實驗室服務應該需要實驗室的非系統管理員使用者 | 此原則需要為透過實驗室服務管理的實驗室建立非系統管理員使用者帳戶。 | Audit, Deny, Disabled | 1.1.0 |
實驗室服務應該限制允許的虛擬機器 SKU 大小 | 此原則可讓您針對透過實驗室服務管理的實驗室限制特定計算 VM SKU。 這會限制特定的虛擬機器大小。 | Audit, Deny, Disabled | 1.1.0 |
Lighthouse
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許管理租用戶識別碼透過 Azure Lighthouse 上線 | 將 Azure Lighthouse 委派限制於特定的管理租用戶,以限制可管理您 Azure 資源的人員,從而提高安全性。 | 拒絕 | 1.0.1 |
稽核管理租用戶的範圍委派 | 透過 Azure Lighthouse 稽核管理租用戶的範圍委派。 | Audit, Disabled | 1.0.0 |
Logic Apps
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Logic Apps 整合服務環境應使用客戶自控金鑰進行加密 | 部署至整合服務環境,以使用客戶自控金鑰來管理 Logic Apps 資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | Audit, Deny, Disabled | 1.0.0 |
Logic Apps 應部署到整合服務環境中 | 將 Logic Apps 部署到虛擬網路內的整合服務環境,即可開啟進階的 Logic Apps 網路與安全性功能,並為您提供更好的網路設定控制權。 深入了解:https://aka.ms/integration-service-environment。 部署到 Integration Service 環境也允許使用客戶自控金鑰進行加密,這可讓您管理加密金鑰,以提供更先進的資料保護。 這通常是為了符合合規性需求。 | Audit, Deny, Disabled | 1.0.0 |
應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure 機器學習 部署應該只使用已核准的登錄模型 | 限制登錄模型的部署,以控制組織內使用的外部建立模型 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure Machine Learning 模型登錄部署受限,但允許的登錄除外 | 只在允許的登錄中部署登錄模型,且不受限制。 | 稽核, 拒絕, 停用 | 1.0.0-preview |
Azure Machine Learning Compute 執行個體應有閒置關機。 | 閒置關機排程可在預先決定活動期間後的閒置階段關閉計算,來降低成本。 | Audit, Deny, Disabled | 1.0.0 |
應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
Azure Machine Learning Compute 應位於虛擬網路中 | Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 | Audit, Disabled | 1.0.1 |
Azure Machine Learning Compute 應已停用本機驗證方法 | 停用本機驗證方法,藉由確保 Machine Learning 計算要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy。 | Audit, Deny, Disabled | 2.1.0 |
應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.1.0 |
Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
Azure Machine Learning 工作區應啟用 V1LegacyMode 以支援網路隔離回溯相容性 | Azure ML 正在 Azure Resource Manager 上轉換至新的 V2 API 平台,您可以使用 V1LegacyMode 參數來控制 API 平台版本。 啟用 V1LegacyMode 參數可讓您將工作區保持在與 V1 相同的網路隔離中,但您將無法使用新的 V2 功能。 建議您在需要將 AzureML 控制平面資料保留在私人網路內時,才開啟 V1 傳統模式。 深入了解:https://aka.ms/V1LegacyMode。 | Audit, Deny, Disabled | 1.0.0 |
Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
Azure Machine Learning 工作區應使用使用者指派的受控識別 | 使用使用者指派的受控識別,管理 Azure ML 工作區的存取權,以及相關聯的資源、Azure Container Registry、KeyVault、儲存體和 App Insights。 根據預設,Azure ML 工作區會使用系統指派的受控識別來存取相關資源。 使用者指派的受控識別可讓您建立身分識別做為 Azure 資源,並維護該身分識別的生命週期。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python。 | Audit, Deny, Disabled | 1.0.0 |
設定 Azure Machine Learning 計算以停用本機驗證方法 | 停用位置驗證方法,讓您的 Machine Learning 計算要求 Azure Active Directory 識別以獨佔方式來進行驗證。 深入了解:https://aka.ms/azure-ml-aad-policy。 | 修改、停用 | 2.1.0 |
設定 Azure Machine Learning 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域連結至您的虛擬網路,以針對 Azure Machine Learning 工作區進行解析。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists, Disabled | 1.1.0 |
設定 Azure Machine Learning 工作區以停用公用網路存取 | 停用 Azure Machine Learning 工作區的公用網路存取,讓您的工作區無法透過公用網際網路存取。 這有助於保護工作區免於遭受資料洩漏的風險。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | 修改、停用 | 1.0.3 |
使用私人端點設定 Azure Machine Learning 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Machine Learning 工作區,您可以降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Azure Machine Learning 工作區的診斷設定設定為 Log Analytics 工作區 | 在建立或更新任何缺少此診斷設定的 Azure Machine Learning 工作區時,請將 Azure Machine Learning 工作區的診斷設定部署至 Log Analytics 工作區的串流資源記錄。 | DeployIfNotExists, Disabled | 1.0.1 |
應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
受控應用程式
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
受控應用程式的應用程式定義應使用客戶提供的儲存體帳戶 | 當此為法規或合規性需求時,請使用您自己的儲存體帳戶來控制應用程式定義資料。 您可以選擇將受控應用程式定義儲存在您於在建立期間提供的儲存體帳戶中,以全面管理其位置和存取權進而符合法規合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
部署受控應用程式的關聯 | 部署關聯資源,將所選資源類型與指定的受控應用程式相關聯。 此原則部署不支援巢狀資源類型。 | deployIfNotExists | 1.0.0 |
受控 Grafana
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 受控 Grafana 工作區應該停用電子郵件設定 | 停用電子郵件接觸點的 SMTP 設定組態,以在 Grafana 工作區中發出警示。 | Audit, Deny, Disabled | 1.0.0 |
Azure 受控 Grafana 工作區應該停用 Grafana Enterprise 升級 | 停用 Grafana 工作區中的 Grafana Enterprise 升級。 | Audit, Deny, Disabled | 1.0.0 |
Azure 受控 Grafana 工作區應該停用公用網路存取 | 停用公用網路存取可確保 Azure 受控 Grafana 工作區不會在公用網際網路上公開,藉此改善安全性。 建立私人端點可能會限制您工作區的曝光。 | Audit, Deny, Disabled | 1.0.0 |
Azure 受控 Grafana 工作區應該停用服務帳戶 | 停用 Grafana 工作區中自動化工作負載的 API 金鑰和服務帳戶。 | Audit, Deny, Disabled | 1.0.0 |
Azure 受控 Grafana 工作區應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至受控 Grafana,就能降低資料外洩的風險。 | Audit, Disabled | 1.0.1 |
設定 Azure 受控 Grafana 工作區以停用公用網路存取 | 停用 Azure 受控 Grafana 工作區的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 | 修改、停用 | 1.0.0 |
設定 Azure 受控 Grafana 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域連結至您的虛擬網路,以針對 Azure 受控 Grafana 工作區進行解析。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 受控 Grafana 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至 Azure 受控 Grafana,就能降低資料外洩的風險。 | DeployIfNotExists, Disabled | 1.0.1 |
受控識別
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:來自 Azure Kubernetes 的受控識別同盟認證應來自信任的來源 | 此原則會將與 Azure Kubernetes 叢集的同盟限制為僅限來自已核准租用戶、已核准區域的叢集,以及其他叢集的特定例外清單。 | 稽核、停用、拒絕 | 1.0.0-preview |
[預覽]:來自 GitHub 的受控識別同盟認證應來自信任的存放庫擁有者 | 此原則會將與 GitHub 存放庫的同盟限制為僅限已核准的存放庫擁有者。 | 稽核、停用、拒絕 | 1.0.1-preview |
[預覽]:受控識別同盟認證應該來自允許的簽發者類型 | 此原則會限制受控識別是否可以使用允許通用簽發者類型的同盟認證,並提供允許的簽發者例外清單。 | 稽核、停用、拒絕 | 1.0.0-preview |
[預覽]:將內建使用者指派的受控識別指派給虛擬機器擴展集 | 建立並指派內建使用者指派的受控識別,或將預先建立的使用者指派受控識別大規模指派給虛擬機器擴展集。 如需詳細文件,請瀏覽 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
[預覽]:將內建使用者指派的受控識別指派給虛擬機器 | 建立並指派內建使用者指派的受控識別,或將預先建立的使用者指派受控識別大規模指派給虛擬機器。 如需詳細文件,請瀏覽 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
地圖
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
CORS 不應允許每項資源存取您的地圖帳戶。 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的地圖帳戶。 請只允許必要網域與您的地圖帳戶互動。 | 停用、稽核、拒絕 | 1.0.0 |
媒體服務
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 媒體服務帳戶應停用公用網路存取 | 停用公用網路存取可確保媒體服務資源不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制媒體服務資源的曝光程度。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs。 | Audit, Deny, Disabled | 1.0.0 |
Azure 媒體服務帳戶應該使用支援私人連結的 API | 媒體服務帳戶應該使用支援私人連結的 API 來建立。 | Audit, Deny, Disabled | 1.0.0 |
應封鎖允許存取舊版 v2 API 的 Azure 媒體服務帳戶 | 媒體服務舊版 v2 API 允許無法使用 Azure 原則管理的要求。 使用 2020-05-01 API 或更新版本建立的媒體服務資源會封鎖對舊版 v2 API 的存取。 | Audit, Deny, Disabled | 1.0.0 |
Azure 媒體服務內容金鑰原則應該使用權杖驗證 | 內容金鑰原則會定義必須符合才能存取內容金鑰的條件。 權杖限制可確保只有使用者具有來自驗證服務的有效權杖才能存取內容金鑰,例如 Microsoft Entra ID。 | Audit, Deny, Disabled | 1.0.1 |
Azure 媒體服務使用 HTTPS 輸入的作業應將輸入 URI 限制為允許的 URI 模式 | 將媒體服務作業所使用的 HTTPS 輸入限制為已知的端點。 您可以設定所允許作業輸入模式的空白清單,來完全停用來自 HTTPS 端點的輸入。 當作業輸入指定 'baseUri' 時,模式將會與此值進行比對;未設定 'baseUri' 時,模式會與 'files' 屬性進行比對。 | 稽核, 拒絕, 停用 | 1.0.1 |
Azure 媒體服務應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理媒體服務帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/mediaservicescmkdocs。 | Audit, Deny, Disabled | 1.0.0 |
Azure 媒體服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至 Azure 媒體服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure 媒體服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 媒體服務帳戶進行解析。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 媒體服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至 Azure 媒體服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
移轉
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定 Azure Migrate 資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,針對您的 Azure Migrate 專案進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
行動網路
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定封包核心控制平面診斷存取,以使用驗證類型 Microsoft Entra ID | 驗證類型必須是 Microsoft Entra ID,才能透過本機 API 進行封包核心診斷存取 | 修改、停用 | 1.0.0 |
封包核心控制平面診斷存取應該只使用 Microsoft Entra ID 驗證類型 | 驗證類型必須是 Microsoft Entra ID,才能透過本機 API 進行封包核心診斷存取 | Audit, Deny, Disabled | 1.0.0 |
SIM 群組應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來管理 SIM 群組中 SIM 祕密的待用加密。 客戶自控金鑰通常必須符合法規合規性標準,且可讓資料以您建立和擁有的 Azure Key Vault 金鑰加密。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | Audit, Deny, Disabled | 1.0.0 |
監視
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:使用連線至預設 Log Analytics 工作區的 Log Analytics 代理程式來設定已啟用 Azure Arc 的 Linux 電腦 | 透過安裝 Log Analytics 代理程式,將資料傳送至由適用於雲端的 Microsoft Defender 所建立的預設 Log Analytics 工作區,以使用適用於雲端的 Microsoft Defender 功能來保護啟用 Azure Arc 的 Linux 電腦。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:使用連線至預設 Log Analytics 工作區的 Log Analytics 代理程式來設定已啟用 Azure Arc 的 Windows 電腦 | 透過安裝 Log Analytics 代理程式,將資料傳送至由適用於雲端的 Microsoft Defender 所建立的預設 Log Analytics 工作區,以使用適用於雲端的 Microsoft Defender 功能來保護啟用 Azure Arc 的 Windows 電腦。 | DeployIfNotExists, Disabled | 1.1.0-preview |
[預覽]:設定由系統指派的受控識別,以在 VM 上啟用 Azure 監視器指派 | 將系統指派的受控識別設定至 Azure 中裝載的虛擬機器,該虛擬機器受 Azure 監視器支援,但是沒有任何受控識別。 系統指派的受控識別是所有 Azure 監視器指派的必要條件,必須先新增至電腦,才能使用任何 Azure 監視器延伸模組。 目標虛擬機器必須位於支援的位置。 | 修改、停用 | 6.0.0-preview |
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
[預覽]:Linux Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Linux Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
[預覽]:Windows Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Windows Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
[預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
[預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
活動記錄至少應保留一年 | 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 | AuditIfNotExists, Disabled | 1.0.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
Application Insights 元件應封鎖來自公用網路的記錄擷取和查詢 | 藉由封鎖來自公用網路的記錄擷取和查詢,改善 Application Insights 安全性。 只有私人連結連線的網路能夠內嵌和查詢此元件的記錄。 深入了解:https://aka.ms/AzMonPrivateLink#configure-application-insights。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Application Insights 元件應該封鎖非以 Azure Active Directory 為基礎的擷取。 | 強制讓記錄擷取要求 Azure Active Directory 驗證,可防止攻擊者未經驗證的記錄,這可能會導致錯誤的狀態、錯誤警示及不正確的記錄儲存在系統中。 | Deny, Audit, Disabled | 1.0.0 |
已啟用 Private Link 的 Application Insights 元件應該針對分析工具和偵錯工具使用自備儲存體帳戶。 | 若要支援私人連結和客戶自控金鑰原則,請為分析工具和偵錯工具建立您自己的儲存體帳戶。 在 https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage 中深入了解 | Deny, Audit, Disabled | 1.0.0 |
稽核所選取資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
Azure 應用程式閘道應啟用資源記錄 | 啟用 Azure 應用程式閘道的資源記錄 (加上 WAF),並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Front Door 應啟用資源記錄 | 啟用 Azure Front Door 的資源記錄 (加上 WAF),並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure Front Door 標準或進階 (以及 WAF) 應該已啟用資源記錄 | 啟用 Azure Front Door 標準或進階 (以及 WAF) 的資源記錄,並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
Log Analytics 工作區的 Azure 記錄搜尋警示應該使用客戶自控金鑰 | 請確定 Azure 記錄搜尋警示會實作客戶自控金鑰,方法是使用客戶為受到查詢的 Analytics 工作區提供的儲存體帳戶來儲存查詢文字。 如需詳細資訊,請瀏覽 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 稽核、停用、拒絕 | 1.0.0 |
Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 監視器記錄叢集應在啟用基礎結構加密的情況下建立 (雙重加密) | 為了確保使用兩個不同的加密演算法和兩個不同的金鑰,在服務層級和基礎結構層級啟用安全資料加密,請使用 Azure 監視器專用叢集。 在區域支援時,預設會啟用此選項,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure 監視器記錄叢集應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰加密建立 Azure 監視器記錄叢集。 依預設,記錄資料會使用服務代控金鑰進行加密,但若要遵循法規,通常需要有客戶自控金鑰。 Azure 監視器中的客戶自控金鑰可讓您更充分掌控資料的存取權,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Application Insights 的 Azure 監視器記錄應連結到 Log Analytics 工作區 | 將 Application Insights 元件連結至 Log Analytics 工作區,以進行記錄加密。 通常需要有客戶自控金鑰才能遵循法規,並進一步控制 Azure 監視器中的資料存取權。 將您的元件連結至使用客戶自控金鑰啟用的 Log Analytics 工作區,可確保您的 Application Insights 記錄符合該合規性需求,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
Azure Monitor Private Link Scope 應該會禁止存取非私人連結資源 | Azure Private Link 可讓您將連線至 Azure 資源的虛擬網路,透過私人端點連線到 Azure Monitor Private Link Scope (AMPLS)。 Private Link 存取模式是在 AMPLS 上設定,以控制來自網路的擷取和查詢要求是否可以連接到所有資源,或僅連接到 Private Link 資源 (以防止資料外流)。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open。 | Audit, Deny, Disabled | 1.0.0 |
Azure Monitor Private Link Scope 應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure 監視器私人連結範圍,可以降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
必須部署 Azure 監視器解決方案「安全性與稽核」 | 此原則可確保已部署安全性與稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
設定 Azure 活動記錄以串流至指定 Log Analytics 工作區 | 部署 Azure 活動的診斷設定,以將訂閱稽核記錄串流至 Log Analytics 工作區,以監視訂閱層級的事件 | DeployIfNotExists, Disabled | 1.0.0 |
設定 Azure Application Insights 元件,以停用記錄擷取和查詢的公用網路存取 | 停用來自公用網路存取的元件記錄擷取和查詢,以改善安全性。 只有私人連結連線的網路能夠內嵌和查詢此工作區的記錄。 請至https://aka.ms/AzMonPrivateLink#configure-application-insights,即可深入瞭解。 | 修改、停用 | 1.1.0 |
設定 Azure Log Analytics 工作區,以停用記錄擷取及查詢的公用網路存取 | 藉由封鎖來自公用網路的記錄擷取和查詢,以改善工作區安全性。 只有私人連結連線的網路能夠內嵌和查詢此工作區的記錄。 請至https://aka.ms/AzMonPrivateLink#configure-log-analytics,即可深入瞭解。 | 修改、停用 | 1.1.0 |
設定 Azure 監視器私人連結範圍以禁止存取非私人連結的資源 | Azure Private Link 可讓您將連線至 Azure 資源的虛擬網路,透過私人端點連線到 Azure Monitor Private Link Scope (AMPLS)。 Private Link 存取模式是在 AMPLS 上設定,以控制來自網路的擷取和查詢要求是否可以連接到所有資源,或僅連接到 Private Link 資源 (以防止資料外流)。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open。 | 修改、停用 | 1.0.0 |
設定 Azure 監視器私人連結範圍以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 監視器私人連結範圍進行解析。 深入了解:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
使用私人端點設定 Azure 監視器私人連結範圍 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 監視器私人連結範圍,您可以降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security。 | DeployIfNotExists, Disabled | 1.0.0 |
在已啟用 Azure Arc 的 Linux 伺服器上設定 Dependency Agent | 藉由安裝 Dependency Agent 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.1.0 |
使用 Azure 監視代理程式設定,在已啟用 Azure Arc 的 Linux 伺服器上設定 Dependency Agent | 使用 Azure 監視代理程式設定安裝 Dependency Agent 虛擬機器擴充功能,可透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.2.0 |
在已啟用 Azure Arc 的 Windows 伺服器上設定 Dependency Agent | 藉由安裝 Dependency Agent 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.1.0 |
使用 Azure 監視代理程式設定,在已啟用 Azure Arc 的 Windows 伺服器上設定 Dependency Agent | 使用 Azure 監視代理程式設定安裝 Dependency Agent 虛擬機器擴充功能,可透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.2.0 |
設定 Linux Arc 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,以將 Linux Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 2.2.1 |
設定 Linux 啟用 Arc 的機器以執行 Azure 監視器代理程式 | 自動在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果區域有支援,此原則便會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.4.0 |
設定 Linux 機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Linux 虛擬機器、虛擬機器擴展集和 Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 6.5.1 |
設定 Linux 虛擬機器擴展集以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Linux 虛擬機器擴展集連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.4.1 |
將 Linux 虛擬機器擴展集設定為利用系統指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.6.0 |
將 Linux 虛擬機器擴展集設定為利用使用者指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.8.0 |
設定 Linux 虛擬機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,以將 Linux 虛擬機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.4.1 |
將 Linux 虛擬機器設定為利用系統指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.6.0 |
將 Linux 虛擬機器設定為利用使用者指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.8.0 |
在已啟用 Azure Arc 的 Linux 伺服器上設定 Log Analytics 延伸模組。 請參閱下方的淘汰通知 | 藉由安裝 Log Analytics 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能資料,並提供其效能的深入解析。 查看更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」 | DeployIfNotExists, Disabled | 2.1.1 |
在已啟用 Azure Arc 的 Windows 伺服器上設定 Log Analytics 延伸模組 | 藉由安裝 Log Analytics 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能資料,並提供其效能的深入解析。 查看更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 2.1.1 |
設定 Log Analytics 工作區和自動化帳戶以集中記錄及監視 | 部署包含 Log Analytics 工作區和已連結自動化帳戶的資源群組,以集中記錄及監視。 自動化帳戶是更新 (Updates) 和變更追蹤 (Change Tracking) 等解決方案的必要條件。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0 |
設定 Windows Arc 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,以將 Windows Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 2.2.1 |
設定 Windows 啟用 Arc 的機器以執行 Azure 監視器代理程式 | 自動在 Windows 啟用 Arc 的機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.4.0 |
設定 Windows 機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器、虛擬機器擴展集和 Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.5.1 |
設定 Windows 虛擬機器擴展集以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器擴展集連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 3.3.1 |
使用系統指派的受控識別,設定 Windows 虛擬機器擴展集,以執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.4.0 |
將 Windows 虛擬機器擴展集設定為利用使用者指派的受控識別型驗證,執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.6.0 |
設定 Windows 虛擬機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 3.3.1 |
將 Windows 虛擬機器設定為使用系統指派的受控識別,來執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 4.4.0 |
將 Windows 虛擬機器設定為利用使用者指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.6.0 |
應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器擴展集回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Dependency Agent | 若 VM 映像 (OS) 位於定義的清單中,且未安裝代理程式,請為 Windows 虛擬機器擴展集部署 Dependency Agent。此 OS 映像清單會隨支援更新而更新。 如果您的擴展集 upgradePolicy 設為「手動」,您必須透過更新,將延伸模組套用至集合中的所有虛擬機器。 | DeployIfNotExists, Disabled | 3.2.0 |
部署 - 設定要在 Windows 虛擬機器上啟用的相依性代理程式 | 若虛擬機器映像位於定義的清單中,而且未安裝代理程式,請為 Windows 虛擬機器部署相依性代理程式。 | DeployIfNotExists, Disabled | 3.2.0 |
部署 - 對 Log Analytics 工作區進行診斷設定,以在 Azure Key Vault 受控 HSM 上啟用 | 針對 Azure Key Vault 受控 HSM 部署診斷設定,以在建立或更新任何缺少此診斷設定的 Azure Key Vault 受控 HSM 時,將該診斷設定串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Log Analytics 延伸模組 | 若虛擬機器映像位於定義的清單中,而且未安裝延伸模組,請為 Windows 虛擬機器擴展集部署 Log Analytics 延伸模組。 如果您的擴展集 upgradePolicy 設為「手動」,您必須透過更新,將延伸模組套用至集合中的所有虛擬機器。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 3.1.0 |
部署 - 設定要在 Windows 虛擬機器上啟用的 Log Analytics 延伸模組 | 若虛擬機器映像位於定義的清單中,而且未安裝延伸模組,請為 Windows 虛擬機器部署 Log Analytics 延伸模組。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 3.1.0 |
為 Linux 虛擬機器擴展集部署 Dependency Agent | 若 VM 映像 (OS) 在所定義清單中且未安裝代理程式,請部署 Linux 虛擬機器擴展集的 Dependency Agent。 注意:如果您的擴展集 upgradePolicy 設為「手動」,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 | deployIfNotExists | 5.1.0 |
使用 Azure 監視代理程式設定,為 Linux 虛擬機器擴展集部署 Dependency Agent | 如果 VM 映像 (OS) 位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Linux 虛擬機器擴展集部署 Dependency Agent。 注意:如果您的擴展集 upgradePolicy 設為「手動」,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 | DeployIfNotExists, Disabled | 3.2.0 |
為 Linux 虛擬機器部署 Dependency Agent | 若 VM 映像 (OS) 位於定義的清單中,而且未安裝代理程式,請為 Linux 虛擬機器部署 Dependency Agent。 | deployIfNotExists | 5.1.0 |
使用 Azure 監視代理程式設定,為 Linux 虛擬機器部署 Dependency Agent | 如果 VM 映像 (OS) 位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Linux 虛擬機器部署 Dependency Agent。 | DeployIfNotExists, Disabled | 3.2.0 |
使用 Azure 監視代理程式設定,在 Windows 虛擬機器擴展集上部署 Dependency Agent | 如果虛擬機器映像位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Windows 虛擬機器擴展集部署 Dependency Agent。 如果您的擴展集 upgradePolicy 設為「手動」,您必須透過更新,將延伸模組套用至集合中的所有虛擬機器。 | DeployIfNotExists, Disabled | 1.3.0 |
使用 Azure 監視代理程式設定,在 Windows 虛擬機器上部署 Dependency Agent | 如果虛擬機器映像位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Windows 虛擬機器部署 Dependency Agent。 | DeployIfNotExists, Disabled | 1.3.0 |
將 Batch 帳戶的診斷設定部署至事件中樞 | 針對 Batch 帳戶部署診斷設定,以在任何缺少此診斷設定的 Batch 帳戶建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Batch 帳戶的診斷設定部署至 Log Analytics 工作區 | 針對 Batch 帳戶部署診斷設定,以在任何缺少此診斷設定的 Batch 帳戶建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.1.0 |
將 Data Lake Analytics 的診斷設定部署至事件中樞 | 針對 Data Lake Analytics 部署診斷設定,以在任何缺少此診斷設定的 Data Lake Analytics 建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Data Lake Analytics 的診斷設定部署至 Log Analytics 工作區 | 針對 Data Lake Analytics 部署診斷設定,以在任何缺少此診斷設定的 Data Lake Analytics 建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將 Data Lake Storage Gen1 的診斷設定部署至事件中樞 | 針對 Data Lake Storage Gen1 部署診斷設定,以在任何缺少此診斷設定的 Data Lake Storage Gen1 建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Data Lake Storage Gen1 的診斷設定部署至 Log Analytics 工作區 | 針對 Data Lake Storage Gen1 部署診斷設定,以在任何缺少此診斷設定的 Data Lake Storage Gen1 建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將事件中樞的診斷設定部署至事件中樞 | 針對事件中樞部署診斷設定,以在任何缺少此診斷設定的事件中樞建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.1.0 |
將事件中樞的診斷設定部署至 Log Analytics 工作區 | 針對事件中樞部署診斷設定,以在任何缺少此診斷設定的事件中樞建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Key Vault 的診斷設定部署至 Log Analytics 工作區 | 針對 Key Vault 部署診斷設定,以在任何缺少此診斷設定的 Key Vault 建立或更新時串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 3.0.0 |
將 Logic Apps 的診斷設定部署至事件中樞 | 針對 Logic Apps 部署診斷設定,以在任何缺少此診斷設定的 Logic Apps 建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將 Logic Apps 的診斷設定部署至 Log Analytics 工作區 | 針對 Logic Apps 部署診斷設定,以在任何缺少此診斷設定的 Logic Apps 建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
部署網路安全性群組的診斷設定 | 此原則會將診斷設定自動部署至網路安全性群組。 名為 '{storagePrefixParameter}{NSGLocation}' 的儲存體帳戶將會自動建立。 | deployIfNotExists | 2.0.1 |
將搜尋服務的診斷設定部署至事件中樞 | 針對搜尋服務部署診斷設定,以在任何缺少此診斷設定的搜尋服務建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將搜尋服務的診斷設定部署至 Log Analytics 工作區 | 針對搜尋服務部署診斷設定,以在任何缺少此診斷設定的搜尋服務建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
將服務匯流排的診斷設定部署到事件中樞 | 針對服務匯流排部署診斷設定,以在任何缺少此診斷設定的服務匯流排建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將服務匯流排的診斷設定部署至 Log Analytics 工作區 | 針對服務匯流排部署診斷設定,以在任何缺少此診斷設定的服務匯流排建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 2.1.0 |
將串流分析的診斷設定部署至事件中樞 | 針對串流分析部署診斷設定,以在任何缺少此診斷設定的串流分析建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 2.0.0 |
將串流分析的診斷設定部署至 Log Analytics 工作區 | 針對串流分析部署診斷設定,以在任何缺少此診斷設定的串流分析建立或更新時串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
為 Linux 虛擬機器擴展集部署 Log Analytics 延伸模組。 請參閱下方的淘汰通知 | 若 VM 映像 (OS) 在所定義清單中且未安裝延伸模組,請部署 Linux 虛擬機器擴展集的 Log Analytics 延伸模組。 注意:如果您的擴展集 upgradePolicy 設為 Manual,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 淘汰通知:於 2024 年 8 月 31 日之後將不再支援 Log Analytics 代理程式。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」 | deployIfNotExists | 3.0.0 |
為 Linux VM 部署 Log Analytics 延伸模組。 請參閱下方的淘汰通知 | 若 VM 映像 (OS) 位於定義的清單之中,而且未安裝延伸模組,請為 Linux VM 部署 Log Analytics 延伸模組。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」 | deployIfNotExists | 3.0.0 |
針對 1ES 託管集區 (microsoft.cloudtest/hostedpools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 1ES 託管 Pools (microsoft.cloudtest/hostedpools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 1ES 託管集區 (microsoft.cloudtest/hostedpools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 1ES 託管 Pools (microsoft.cloudtest/hostedpools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 1ES 託管集區 (microsoft.cloudtest/hostedpools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 1ES 託管 Pools (microsoft.cloudtest/hostedpools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對分析服務 (microsoft.analysisservices/servers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對分析服務 (microsoft.analysisservices/servers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對分析服務 (microsoft.analysisservices/servers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對分析服務 (microsoft.analysisservices/servers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對分析服務 (microsoft.analysisservices/servers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對分析服務 (microsoft.analysisservices/servers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 APIM 服務 (microsoft.apimanagement/service) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 APIM 服務 (microsoft.apimanagement/service) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 APIM 服務 (microsoft.apimanagement/service) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 APIM 服務 (microsoft.apimanagement/service) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 APIM 服務 (microsoft.apimanagement/service) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 APIM 服務 (microsoft.apimanagement/service) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對應用程式組態 (microsoft.appconfiguration/configurationstores) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式組態 (microsoft.appconfiguration/configurationstores) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對應用程式組態 (microsoft.appconfiguration/configurationstores) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式組態 (microsoft.appconfiguration/configurationstores) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對應用程式組態 (microsoft.appconfiguration/configurationstores) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式組態 (microsoft.appconfiguration/configurationstores) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 App Service (microsoft.web/sites) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對 App Service (microsoft.web/sites) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 App Service 環境 (microsoft.web/hostingenvironments) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 App Service 環境 (microsoft.web/hostingenvironments) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 App Service 環境 (microsoft.web/hostingenvironments) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 App Service 環境 (microsoft.web/hostingenvironments) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 App Service 環境 (microsoft.web/hostingenvironments) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 App Service 環境 (microsoft.web/hostingenvironments) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以針對 Azure 虛擬桌面應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式群組 (microsoft.desktopvirtualization/applicationgroups) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Application Insights (microsoft.insights/components) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對 Application Insights (microsoft.insights/components) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Application Insights (microsoft.insights/components) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對 Application Insights (microsoft.insights/components) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Application Insights (Microsoft.Insights/components) 啟用依類別群組記錄至 Log Analytics (虛擬記憶體保護區) | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對 Application Insights (Microsoft.Insights/components) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.1 |
針對 Application Insights (microsoft.insights/components) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對 Application Insights (microsoft.insights/components) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對證明提供者 (microsoft.attestation/attestationproviders) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對證明提供者 (microsoft.attestation/attestationproviders) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對證明提供者 (microsoft.attestation/attestationproviders) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對證明提供者 (microsoft.attestation/attestationproviders) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對證明提供者 (microsoft.attestation/attestationproviders) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對證明提供者 (microsoft.attestation/attestationproviders) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對自動化帳戶 (microsoft.automation/automationaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對自動化帳戶 (microsoft.automation/automationaccounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對自動化帳戶 (microsoft.automation/automationaccounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對自動化帳戶 (microsoft.automation/automationaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對自動化帳戶 (microsoft.automation/automationaccounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對自動化帳戶 (microsoft.automation/automationaccounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 AVS 私人雲端 (microsoft.avs/privateclouds) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 AVS 私人雲端 (microsoft.avs/privateclouds) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 AVS 私人雲端 (microsoft.avs/privateclouds) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 AVS 私人雲端 (microsoft.avs/privateclouds) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 AVS 私人雲端 (microsoft.avs/privateclouds) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 AVS 私人雲端 (microsoft.avs/privateclouds) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure AD Domain Services (microsoft.aad/domainservices) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure AD Domain Services (microsoft.aad/domainservices) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure AD Domain Services (microsoft.aad/domainservices) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure AD Domain Services (microsoft.aad/domainservices) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure AD Domain Services (microsoft.aad/domainservices) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure AD Domain Services (microsoft.aad/domainservices) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure API for FHIR (microsoft.healthcareapis/services) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure API for FHIR (microsoft.healthcareapis/services) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure API for FHIR (microsoft.healthcareapis/services) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure API for FHIR (microsoft.healthcareapis/services) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure API for FHIR (microsoft.healthcareapis/services) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure API for FHIR (microsoft.healthcareapis/services) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Cache for Redis (microsoft.cache/redis) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cache for Redis (microsoft.cache/redis) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Azure Cache for Redis (microsoft.cache/redis) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cache for Redis (microsoft.cache/redis) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure Cache for Redis (microsoft.cache/redis) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cache for Redis (microsoft.cache/redis) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cosmos DB (microsoft.documentdb/databaseaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Cosmos DB 帳戶 (microsoft.documentdb/databaseaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cosmos DB 帳戶 (microsoft.documentdb/databaseaccounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Cosmos DB 帳戶 (microsoft.documentdb/databaseaccounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cosmos DB 帳戶 (microsoft.documentdb/databaseaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Cosmos DB 帳戶 (microsoft.documentdb/databaseaccounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Cosmos DB 帳戶 (microsoft.documentdb/databaseaccounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 資料總管叢集 (microsoft.kusto/clusters) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 資料總管叢集 (microsoft.kusto/clusters) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 資料總管叢集 (microsoft.kusto/clusters) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 資料總管叢集 (microsoft.kusto/clusters) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 資料總管叢集 (microsoft.kusto/clusters) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 資料總管叢集 (microsoft.kusto/clusters) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對適用於 MariaDB 的 Azure 資料庫伺服器 (microsoft.dbformariadb/servers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 MariaDB 的 Azure 資料庫伺服器 (microsoft.dbformariadb/servers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對適用於 MariaDB 的 Azure 資料庫伺服器 (microsoft.dbformariadb/servers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 MariaDB 的 Azure 資料庫伺服器 (microsoft.dbformariadb/servers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對適用於 MariaDB 的 Azure 資料庫伺服器 (microsoft.dbformariadb/servers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 MariaDB 的 Azure 資料庫伺服器 (microsoft.dbformariadb/servers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對適用於 MySQL 的 Azure 資料庫伺服器 (microsoft.dbformysql/servers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 MySQL 的 Azure 資料庫伺服器 (microsoft.dbformysql/servers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對適用於 MySQL 的 Azure 資料庫伺服器 (microsoft.dbformysql/servers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 MySQL 的 Azure 資料庫伺服器 (microsoft.dbformysql/servers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對適用於 MySQL 的 Azure 資料庫伺服器 (microsoft.dbformysql/servers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對適用於 MySQL 的 Azure 資料庫伺服器 (microsoft.dbformysql/servers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Databricks 服務 (microsoft.databricks/workspaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Databricks 服務 (microsoft.databricks/workspaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Databricks 服務 (microsoft.databricks/workspaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Databricks 服務 (microsoft.databricks/workspaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Databricks 服務 (microsoft.databricks/workspaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Databricks 服務 (microsoft.databricks/workspaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Digital Twins (microsoft.digitaltwins/digitaltwinsinstances) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure FarmBeats (microsoft.agfoodplatform/farmbeats) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure 負載測試 (microsoft.loadtestservice/loadtests) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 負載測試 (microsoft.loadtestservice/loadtests) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 負載測試 (microsoft.loadtestservice/loadtests) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 負載測試 (microsoft.loadtestservice/loadtests) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 負載測試 (microsoft.loadtestservice/loadtests) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 負載測試 (microsoft.loadtestservice/loadtests) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Machine Learning (microsoft.machinelearningservices/workspaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Machine Learning (microsoft.machinelearningservices/workspaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Azure Machine Learning (microsoft.machinelearningservices/workspaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Machine Learning (microsoft.machinelearningservices/workspaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure Machine Learning (microsoft.machinelearningservices/workspaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Machine Learning (microsoft.machinelearningservices/workspaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Azure 受控 Grafana (microsoft.dashboard/grafana) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 受控 Grafana (microsoft.dashboard/grafana) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 受控 Grafana (microsoft.dashboard/grafana) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 受控 Grafana (microsoft.dashboard/grafana) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure 受控 Grafana (microsoft.dashboard/grafana) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure 受控 Grafana (microsoft.dashboard/grafana) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Spring 應用程式 (microsoft.appplatform/spring) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Spring 應用程式 (microsoft.appplatform/spring) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Spring 應用程式 (microsoft.appplatform/spring) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Spring 應用程式 (microsoft.appplatform/spring) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Spring 應用程式 (microsoft.appplatform/spring) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Spring 應用程式 (microsoft.appplatform/spring) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Video Indexer (microsoft.videoindexer/accounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Video Indexer (microsoft.videoindexer/accounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Video Indexer (microsoft.videoindexer/accounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Video Indexer (microsoft.videoindexer/accounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Azure Video Indexer (microsoft.videoindexer/accounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Video Indexer (microsoft.videoindexer/accounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對備份保存庫 (microsoft.dataprotection/backupvaults) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對備份保存庫 (microsoft.dataprotection/backupvaults) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對備份保存庫 (microsoft.dataprotection/backupvaults) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對備份保存庫 (microsoft.dataprotection/backupvaults) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對備份保存庫 (microsoft.dataprotection/backupvaults) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對備份保存庫 (microsoft.dataprotection/backupvaults) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Batch 帳戶 (microsoft.batch/batchaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Batch 帳戶 (microsoft.batch/batchaccounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Batch 帳戶 (microsoft.batch/batchaccounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Batch 帳戶 (microsoft.batch/batchaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Batch 帳戶 (microsoft.batch/batchaccounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Batch 帳戶 (microsoft.batch/batchaccounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Bot Services (microsoft.botservice/botservices) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bot Services (microsoft.botservice/botservices) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Bot Services (microsoft.botservice/botservices) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bot Services (microsoft.botservice/botservices) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Bot Services (microsoft.botservice/botservices) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bot Services (microsoft.botservice/botservices) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對快取 (microsoft.cache/redisenterprise/databases) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對快取 (microsoft.cache/redisenterprise/databases) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對快取 (microsoft.cache/redisenterprise/databases) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對快取 (microsoft.cache/redisenterprise/databases) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對快取 (microsoft.cache/redisenterprise/databases) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對快取 (microsoft.cache/redisenterprise/databases) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對混沌實驗 (microsoft.chaos/experiments) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對混沌實驗 (microsoft.chaos/experiments) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對混沌實驗 (microsoft.chaos/experiments) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對混沌實驗 (microsoft.chaos/experiments) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對混沌實驗 (microsoft.chaos/experiments) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對混沌實驗 (microsoft.chaos/experiments) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對程式碼簽署帳戶 (microsoft.codesigning/codesigningaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對程式碼簽署帳戶 (microsoft.codesigning/codesigningaccounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對程式碼簽署帳戶 (microsoft.codesigning/codesigningaccounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對程式碼簽署帳戶 (microsoft.codesigning/codesigningaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對程式碼簽署帳戶 (microsoft.codesigning/codesigningaccounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對程式碼簽署帳戶 (microsoft.codesigning/codesigningaccounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用認知服務 (microsoft.cognitiveservices/accounts) 至事件中樞的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的事件中樞 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
啟用認知服務 (microsoft.cognitiveservices/accounts) 至 Log Analytics 的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的 Log Analytics 工作區 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
啟用認知服務 (microsoft.cognitiveservices/accounts) 至儲存體的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的儲存體帳戶 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對通訊服務 (microsoft.communication/communicationservices) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對通訊服務 (microsoft.communication/communicationservices) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對通訊服務 (microsoft.communication/communicationservices) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對通訊服務 (microsoft.communication/communicationservices) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對通訊服務 (microsoft.communication/communicationservices) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對通訊服務 (microsoft.communication/communicationservices) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對網內快取資源 (microsoft.connectedcache/ispcustomers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網內快取資源 (microsoft.connectedcache/ispcustomers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對網內快取資源 (microsoft.connectedcache/ispcustomers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網內快取資源 (microsoft.connectedcache/ispcustomers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對網內快取資源 (microsoft.connectedcache/ispcustomers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網內快取資源 (microsoft.connectedcache/ispcustomers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器應用程式環境 (microsoft.app/managedenvironments) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器應用程式環境 (microsoft.app/managedenvironments) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器應用程式環境 (microsoft.app/managedenvironments) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器應用程式環境 (microsoft.app/managedenvironments) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器應用程式環境 (microsoft.app/managedenvironments) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器應用程式環境 (microsoft.app/managedenvironments) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器執行個體 (microsoft.containerinstance/containergroups) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器執行個體 (microsoft.containerinstance/containergroups) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器執行個體 (microsoft.containerinstance/containergroups) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器執行個體 (microsoft.containerinstance/containergroups) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器執行個體 (microsoft.containerinstance/containergroups) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器執行個體 (microsoft.containerinstance/containergroups) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對容器登錄 (microsoft.containerregistry/registries) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器登錄 (microsoft.containerregistry/registries) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對容器登錄 (microsoft.containerregistry/registries) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器登錄 (microsoft.containerregistry/registries) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對容器登錄 (microsoft.containerregistry/registries) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對容器登錄 (microsoft.containerregistry/registries) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對資料收集規則 (microsoft.insights/datacollectionrules) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料收集規則 (microsoft.insights/datacollectionrules) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料收集規則 (microsoft.insights/datacollectionrules) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料收集規則 (microsoft.insights/datacollectionrules) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料收集規則 (microsoft.insights/datacollectionrules) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料收集規則 (microsoft.insights/datacollectionrules) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料處理站 (V2) (microsoft.datafactory/factories) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料處理站 (V2) (microsoft.datafactory/factories) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料處理站 (V2) (microsoft.datafactory/factories) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料處理站 (V2) (microsoft.datafactory/factories) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料處理站 (V2) (microsoft.datafactory/factories) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料處理站 (V2) (microsoft.datafactory/factories) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Data Lake Analytics (microsoft.datalakeanalytics/accounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Data Lake Storage Gen1 (microsoft.datalakestore/accounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料共用 (microsoft.datashare/accounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料共用 (microsoft.datashare/accounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料共用 (microsoft.datashare/accounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料共用 (microsoft.datashare/accounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對資料共用 (microsoft.datashare/accounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對資料共用 (microsoft.datashare/accounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對開發人員中心 (microsoft.devcenter/devcenters) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對開發人員中心 (microsoft.devcenter/devcenters) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對開發人員中心 (microsoft.devcenter/devcenters) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對開發人員中心 (microsoft.devcenter/devcenters) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對開發人員中心 (microsoft.devcenter/devcenters) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對開發人員中心 (microsoft.devcenter/devcenters) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 DICOM 服務 (microsoft.healthcareapis/workspaces/dicomservices) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 DICOM 服務 (microsoft.healthcareapis/workspaces/dicomservices) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 DICOM 服務 (microsoft.healthcareapis/workspaces/dicomservices) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 DICOM 服務 (microsoft.healthcareapis/workspaces/dicomservices) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 DICOM 服務 (microsoft.healthcareapis/workspaces/dicomservices) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 DICOM 服務 (microsoft.healthcareapis/workspaces/dicomservices) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對端點 (microsoft.cdn/profiles/endpoints) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對端點 (microsoft.cdn/profiles/endpoints) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對端點 (microsoft.cdn/profiles/endpoints) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對端點 (microsoft.cdn/profiles/endpoints) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對端點 (microsoft.cdn/profiles/endpoints) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對端點 (microsoft.cdn/profiles/endpoints) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格網域 (microsoft.eventgrid/domains) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格網域 (microsoft.eventgrid/domains) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對事件方格網域 (microsoft.eventgrid/domains) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格網域 (microsoft.eventgrid/domains) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件方格網域 (microsoft.eventgrid/domains) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格網域 (microsoft.eventgrid/domains) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格合作夥伴命名空間 (microsoft.eventgrid/partnernamespaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件方格合作夥伴主題 (microsoft.eventgrid/partnertopics) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格合作夥伴主題 (microsoft.eventgrid/partnertopics) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格合作夥伴主題 (microsoft.eventgrid/partnertopics) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格合作夥伴主題 (microsoft.eventgrid/partnertopics) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格合作夥伴主題 (microsoft.eventgrid/partnertopics) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格合作夥伴主題 (microsoft.eventgrid/partnertopics) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格系統主題 (microsoft.eventgrid/systemtopics) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格系統主題 (microsoft.eventgrid/systemtopics) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格系統主題 (microsoft.eventgrid/systemtopics) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格系統主題 (microsoft.eventgrid/systemtopics) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格系統主題 (microsoft.eventgrid/systemtopics) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格系統主題 (microsoft.eventgrid/systemtopics) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對事件方格主題 (microsoft.eventgrid/topics) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格主題 (microsoft.eventgrid/topics) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對事件方格主題 (microsoft.eventgrid/topics) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格主題 (microsoft.eventgrid/topics) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件方格主題 (microsoft.eventgrid/topics) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件方格主題 (microsoft.eventgrid/topics) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件中樞命名空間 (microsoft.eventhub/namespaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件中樞命名空間 (microsoft.eventhub/namespaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對事件中樞命名空間 (microsoft.eventhub/namespaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件中樞命名空間 (microsoft.eventhub/namespaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對事件中樞命名空間 (microsoft.eventhub/namespaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對事件中樞命名空間 (microsoft.eventhub/namespaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對實驗工作區 (microsoft.experimentation/experimentworkspaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對實驗工作區 (microsoft.experimentation/experimentworkspaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對實驗工作區 (microsoft.experimentation/experimentworkspaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對實驗工作區 (microsoft.experimentation/experimentworkspaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對實驗工作區 (microsoft.experimentation/experimentworkspaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對實驗工作區 (microsoft.experimentation/experimentworkspaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 FHIR 服務 (microsoft.healthcareapis/workspaces/fhirservices) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 FHIR 服務 (microsoft.healthcareapis/workspaces/fhirservices) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 FHIR 服務 (microsoft.healthcareapis/workspaces/fhirservices) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 FHIR 服務 (microsoft.healthcareapis/workspaces/fhirservices) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 FHIR 服務 (microsoft.healthcareapis/workspaces/fhirservices) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 FHIR 服務 (microsoft.healthcareapis/workspaces/fhirservices) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Front Door 和 CDN 設定檔 (microsoft.cdn/profiles) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.cdn/profiles) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Front Door 和 CDN 設定檔 (microsoft.cdn/profiles) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.cdn/profiles) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Front Door 和 CDN 設定檔 (microsoft.cdn/profiles) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.cdn/profiles) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對函數應用程式 (microsoft.web/sites) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對函數應用程式 (microsoft.web/sites) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對主機集區 (microsoft.desktopvirtualization/hostpools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以針對 Azure 虛擬桌面主機集區 (microsoft.desktopvirtualization/hostpools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對主機集區 (microsoft.desktopvirtualization/hostpools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對主機集區 (microsoft.desktopvirtualization/hostpools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對主機集區 (microsoft.desktopvirtualization/hostpools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對主機集區 (microsoft.desktopvirtualization/hostpools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對主機集區 (microsoft.desktopvirtualization/hostpools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對主機集區 (microsoft.desktopvirtualization/hostpools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 HPC 快取 (microsoft.storagecache/caches) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 HPC 快取 (microsoft.storagecache/caches) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 HPC 快取 (microsoft.storagecache/caches) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 HPC 快取 (microsoft.storagecache/caches) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 HPC 快取 (microsoft.storagecache/caches) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 HPC 快取 (microsoft.storagecache/caches) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對整合帳戶 (microsoft.logic/integrationaccounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對整合帳戶 (microsoft.logic/integrationaccounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對整合帳戶 (microsoft.logic/integrationaccounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對整合帳戶 (microsoft.logic/integrationaccounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對整合帳戶 (microsoft.logic/integrationaccounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對整合帳戶 (microsoft.logic/integrationaccounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 IoT 中樞 (microsoft.devices/iothubs) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 IoT 中樞 (microsoft.devices/iothubs) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 IoT 中樞 (microsoft.devices/iothubs) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 IoT 中樞 (microsoft.devices/iothubs) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 IoT 中樞 (microsoft.devices/iothubs) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 IoT 中樞 (microsoft.devices/iothubs) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對金鑰保存庫 (microsoft.keyvault/vaults) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對金鑰保存庫 (microsoft.keyvault/vaults) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對金鑰保存庫 (microsoft.keyvault/vaults) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對金鑰保存庫 (microsoft.keyvault/vaults) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對金鑰保存庫 (microsoft.keyvault/vaults) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對金鑰保存庫 (microsoft.keyvault/vaults) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對即時活動 (microsoft.media/mediaservices/liveevents) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對即時活動 (microsoft.media/mediaservices/liveevents) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對即時活動 (microsoft.media/mediaservices/liveevents) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對即時活動 (microsoft.media/mediaservices/liveevents) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對即時活動 (microsoft.media/mediaservices/liveevents) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對即時活動 (microsoft.media/mediaservices/liveevents) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Log Analytics 工作區 (microsoft.operationalinsights/workspaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Log Analytics 工作區 (microsoft.operationalinsights/workspaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Log Analytics 工作區 (microsoft.operationalinsights/workspaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Log Analytics 工作區 (microsoft.operationalinsights/workspaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Log Analytics 工作區 (microsoft.operationalinsights/workspaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Log Analytics 工作區 (microsoft.operationalinsights/workspaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對邏輯應用程式 (microsoft.logic/workflows) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對邏輯應用程式 (microsoft.logic/workflows) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對邏輯應用程式 (microsoft.logic/workflows) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對邏輯應用程式 (microsoft.logic/workflows) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對邏輯應用程式 (microsoft.logic/workflows) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對邏輯應用程式 (microsoft.logic/workflows) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 CCF 應用程式 (microsoft.confidentialledger/managedccfs) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 CCF 應用程式 (microsoft.confidentialledger/managedccfs) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 CCF 應用程式 (microsoft.confidentialledger/managedccfs) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 CCF 應用程式 (microsoft.confidentialledger/managedccfs) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 CCF 應用程式 (microsoft.confidentialledger/managedccfs) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 CCF 應用程式 (microsoft.confidentialledger/managedccfs) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控資料庫 (microsoft.sql/managedinstances/databases) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控資料庫 (microsoft.sql/managedinstances/databases) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控資料庫 (microsoft.sql/managedinstances/databases) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控資料庫 (microsoft.sql/managedinstances/databases) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控資料庫 (microsoft.sql/managedinstances/databases) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控資料庫 (microsoft.sql/managedinstances/databases) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 HSM (microsoft.keyvault/managedhsms) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 HSM (microsoft.keyvault/managedhsms) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對受控 HSM (microsoft.keyvault/managedhsms) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 HSM (microsoft.keyvault/managedhsms) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對受控 HSM (microsoft.keyvault/managedhsms) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 HSM (microsoft.keyvault/managedhsms) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對媒體服務 (microsoft.media/mediaservices) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對媒體服務 (microsoft.media/mediaservices) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對媒體服務 (microsoft.media/mediaservices) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對媒體服務 (microsoft.media/mediaservices) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對媒體服務 (microsoft.media/mediaservices) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對媒體服務 (microsoft.media/mediaservices) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 MedTech 服務 (microsoft.healthcareapis/workspaces/iotconnectors) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 MedTech 服務 (microsoft.healthcareapis/workspaces/iotconnectors) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 MedTech 服務 (microsoft.healthcareapis/workspaces/iotconnectors) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 MedTech 服務 (microsoft.healthcareapis/workspaces/iotconnectors) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 MedTech 服務 (microsoft.healthcareapis/workspaces/iotconnectors) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 MedTech 服務 (microsoft.healthcareapis/workspaces/iotconnectors) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 Microsoft Purview 帳戶 (microsoft.purview/accounts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Microsoft Purview 帳戶 (microsoft.purview/accounts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 Microsoft Purview 帳戶 (microsoft.purview/accounts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Microsoft Purview 帳戶 (microsoft.purview/accounts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Microsoft Purview 帳戶 (microsoft.purview/accounts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Microsoft Purview 帳戶 (microsoft.purview/accounts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 microsoft.autonomousdevelopmentplatform/workspaces 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.autonomousdevelopmentplatform/workspaces 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.autonomousdevelopmentplatform/workspaces 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.autonomousdevelopmentplatform/workspaces 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.autonomousdevelopmentplatform/workspaces 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.autonomousdevelopmentplatform/workspaces 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.azuresphere/catalogs 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.azuresphere/catalogs 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.azuresphere/catalogs 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.azuresphere/catalogs 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.azuresphere/catalogs 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.azuresphere/catalogs 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.cdn/cdnwebapplicationfirewallpolicies 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.cdn/cdnwebapplicationfirewallpolicies 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.cdn/cdnwebapplicationfirewallpolicies 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.cdn/cdnwebapplicationfirewallpolicies 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.cdn/cdnwebapplicationfirewallpolicies 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.cdn/cdnwebapplicationfirewallpolicies 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.classicnetwork/networksecuritygroups 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.classicnetwork/networksecuritygroups 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.classicnetwork/networksecuritygroups 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.classicnetwork/networksecuritygroups 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.classicnetwork/networksecuritygroups 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.classicnetwork/networksecuritygroups 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.community/communitytrainings 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.community/communitytrainings 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.community/communitytrainings 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.community/communitytrainings 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.community/communitytrainings 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.community/communitytrainings 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.connectedcache/enterprisemcccustomers 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.connectedcache/enterprisemcccustomers 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.connectedcache/enterprisemcccustomers 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.connectedcache/enterprisemcccustomers 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.connectedcache/enterprisemcccustomers 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.connectedcache/enterprisemcccustomers 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.customproviders/resourceproviders 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.customproviders/resourceproviders 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.customproviders/resourceproviders 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.customproviders/resourceproviders 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.customproviders/resourceproviders 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.customproviders/resourceproviders 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.d365customerinsights/instances 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.d365customerinsights/instances 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.d365customerinsights/instances 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.d365customerinsights/instances 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.d365customerinsights/instances 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.d365customerinsights/instances 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbformysql/flexibleservers 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbformysql/flexibleservers 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbformysql/flexibleservers 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbformysql/flexibleservers 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbformysql/flexibleservers 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbformysql/flexibleservers 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/flexibleservers 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/flexibleservers 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/flexibleservers 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/flexibleservers 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/flexibleservers 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/flexibleservers 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servergroupsv2 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servergroupsv2 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servergroupsv2 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servergroupsv2 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servergroupsv2 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servergroupsv2 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servers 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servers 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servers 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servers 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.dbforpostgresql/servers 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.dbforpostgresql/servers 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.devices/provisioningservices 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.devices/provisioningservices 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.devices/provisioningservices 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.devices/provisioningservices 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.devices/provisioningservices 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.devices/provisioningservices 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.documentdb/cassandraclusters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.documentdb/cassandraclusters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.documentdb/cassandraclusters 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.documentdb/cassandraclusters 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.documentdb/cassandraclusters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.documentdb/cassandraclusters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.documentdb/mongoclusters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.documentdb/mongoclusters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.documentdb/mongoclusters 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.documentdb/mongoclusters 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.documentdb/mongoclusters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.documentdb/mongoclusters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.insights/autoscalesettings 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.insights/autoscalesettings 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.insights/autoscalesettings 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.insights/autoscalesettings 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.insights/autoscalesettings 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.insights/autoscalesettings 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.machinelearningservices/registries 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.machinelearningservices/registries 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.machinelearningservices/registries 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.machinelearningservices/registries 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.machinelearningservices/registries 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.machinelearningservices/registries 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.machinelearningservices/workspaces/onlineendpoints 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.machinelearningservices/workspaces/onlineendpoints 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.machinelearningservices/workspaces/onlineendpoints 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.machinelearningservices/workspaces/onlineendpoints 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.machinelearningservices/workspaces/onlineendpoints 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.machinelearningservices/workspaces/onlineendpoints 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.managednetworkfabric/networkdevices 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.managednetworkfabric/networkdevices 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.managednetworkfabric/networkdevices 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.managednetworkfabric/networkdevices 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.managednetworkfabric/networkdevices 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.managednetworkfabric/networkdevices 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 microsoft.network/vpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/vpngateways 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對 microsoft.network/vpngateways 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled |