Azure 原則 Azure 網路服務的內建定義
此頁面是 Azure 網路服務的內建原則定義 Azure 原則 索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure 網路服務
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
| [預覽]:應用程式閘道應該是「區域復原」 | 應用程式閘道可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中僅有一個項目的應用程式閘道,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的應用程式閘道,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:將 Azure 復原服務保存庫設定為使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對復原服務保存庫進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定復原服務保存庫,以使用私人 DNS 區域進行備份 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對您的復原服務保存庫進行解析。 深入了解:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists, Disabled | 1.0.1-preview |
| [預覽]:防火牆應該是「區域復原」 | 防火牆可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的防火牆,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的防火牆,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:Load Balancer 應該是「區域復原」 | 具有 Basic 以外 SKU 的 Load Balancer 會繼承其前端中公用 IP 位址的復原能力。 結合「公用 IP 位址應該是區域復原」原則時,此方法可確保承受區域中斷的必要備援。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:NAT 閘道應該是「區域對齊」 | NAT 閘道可以設定為「區域對齊」。 在其區域陣列中只有一個項目的 NAT 閘道,會視為「區域對齊」。 此原則可確保 NAT 閘道設定為在單一可用性區域內運作。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:公用 IP 位址應該是「區域復原」 | 公用 IP 位址可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的區域公用 IP 位址,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的區域公用 IP 位址,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | Audit, Deny, Disabled | 1.1.0-preview |
| [預覽]:公用 IP 首碼應該是「區域復原」 | 公用 IP 首碼可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的公用 IP 首碼,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的公用 IP 首碼,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:虛擬網路閘道應該是「區域備援」 | 虛擬網路閘道可以設定為「區域備援」。 其 SKU 名稱或階層不是以 'AZ' 結尾的虛擬網路閘道,不是「區域備援」。 此原則可識別缺少承受區域中斷所需備援的虛擬網路閘道。 | Audit, Deny, Disabled | 1.0.0-preview |
| 必須將自訂的 IPsec/IKE 原則套用至所有 Azure 虛擬網路閘道連線 | 此原則可確保所有 Azure 虛擬網路閘道連線都使用自訂的網際網路通訊協定安全性 (Ipsec)/網際網路金鑰交換 (IKE) 原則。 支援的演算法和金鑰強度 - https://aka.ms/AA62kb0 | Audit, Disabled | 1.0.0 |
| 所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否為已啟用。 啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
| 稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確定是否已設定流量記錄。 啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
| Azure 應用程式閘道應該使用 Azure WAF 進行部署 | 需要 Azure 應用程式閘道使用 Azure WAF 進行部署。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 應用程式閘道應啟用資源記錄 | 啟用 Azure 應用程式閘道的資源記錄 (加上 WAF),並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用 Azure DDoS 保護 | 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 | AuditIfNotExists, Disabled | 3.0.1 |
| Azure 防火牆傳統規則應移轉至防火牆原則 | 從 Azure 防火牆傳統規則移轉至防火牆原則,以利用 Azure 防火牆管理員等中央管理工具。 | Audit, Deny, Disabled | 1.0.0 |
| 應啟用 Azure 防火牆原則分析 | 啟用原則分析可提高流量流經 Azure 防火牆的可見度,讓您能夠最佳化防火牆設定,而不會影響應用程式效能 | Audit, Disabled | 1.0.0 |
| Azure 防火牆原則應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 防火牆原則應已啟用 DNS Proxy | 啟用 DNS Proxy 會讓與此原則建立關聯的 Azure 防火牆會在連接埠 53 上接聽,並將 DNS 要求轉送至指定的 DNS 伺服器 | Audit, Disabled | 1.0.0 |
| 應部署 Azure 防火牆,以跨越多個可用性區域 | 為了提高可用性,建議您部署 Azure 防火牆以跨越多個可用性區域。 這可確保您的 Azure 防火牆在發生區域失敗時仍可供使用。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 防火牆標準 - 傳統規則應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 防火牆標準應升級至進階版,以進行新一代保護 | 如果您要尋找新一代保護,例如 IDPS 和 TLS 檢查,您應該考慮將 Azure 防火牆升級至進階版 SKU。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 應啟用資源記錄 | 啟用 Azure Front Door 的資源記錄 (加上 WAF),並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure VPN 閘道不應使用「基本」SKU | 此原則可確保 VPN 閘道不使用「基本」SKU。 | Audit, Disabled | 1.0.0 |
| Azure 應用程式閘道上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure 應用程式閘道的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure Front Door 的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應為 Azure 應用程式閘道 WAF 啟用 Bot 保護 | 此原則可確保所有 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
| 應為 Azure Front Door WAF 啟用 Bot 保護 | 此原則可確保所有 Azure Front Door Web 應用程式防火牆 (WAF) 原則中都已啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
| 為 blob groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 blob groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 blob_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 blob_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 dfs groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 dfs groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 dfs_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 dfs_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為檔案 groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫檔案 groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為佇列 groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫佇列 groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 queue_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 queue_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為資料表 groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫資料表 groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 table_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 table_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 Web groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 Web groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 web_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 web_secondary 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將 App Service 應用程式設定為使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會將虛擬網路連結至 App Service。 深入了解:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 Azure Arc 私人連結範圍以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Arc Private Link 範圍進行解析。 深入了解:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 1.2.0 |
| 使用私人 DNS 區域設定 Azure 自動化帳戶 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 您需要正確設定私人 DNS 區域,才能透過 Azure Private Link 連線到 Azure 自動化帳戶。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure Cache for Redis Enterprise 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析為 Azure Cache for Redis Enterprise。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure Cache for Redis 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以針對 Azure Cache for Redis 進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 認知搜尋服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,針對您的 Azure 認知搜尋服務進行解析。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure Databricks 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Databricks 工作區進行解析。 深入了解:https://aka.ms/adbpe。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 Azure IoT 中樞裝置更新帳戶以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會針對 IoT 中樞私人端點的裝置更新部署私人 DNS 區域。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 檔案同步以使用私人 DNS 區域 | 若要從已註冊的伺服器存取儲存體同步服務資源介面的私人端點,您必須設定 DNS 以將正確的名稱解析為私人端點的私人 IP 位址。 此原則會建立必要的 Azure 私用 DNS 區域,以及儲存體同步服務私人端點介面的記錄。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定 Azure HDInsight 叢集,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure HDInsight 叢集進行解析。 深入了解:https://aka.ms/hdi.pl。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure Key Vault 以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對金鑰保存庫進行解析。 深入了解:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 Azure Machine Learning 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域連結至您的虛擬網路,以針對 Azure Machine Learning 工作區進行解析。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定 Azure 受控 Grafana 工作區以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域連結至您的虛擬網路,以針對 Azure 受控 Grafana 工作區進行解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 媒體服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 媒體服務帳戶進行解析。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用私人端點設定 Azure 媒體服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至 Azure 媒體服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure Migrate 資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,針對您的 Azure Migrate 專案進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 監視器私人連結範圍以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 監視器私人連結範圍進行解析。 深入了解:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure Synapse 工作區,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Synapse 工作區進行解析。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint。 | DeployIfNotExists, Disabled | 2.0.0 |
| 設定 Azure 虛擬桌面主機集區資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 虛擬桌面資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 虛擬桌面工作區資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 虛擬桌面資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 請設定 Azure Web PubSub 服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Web PubSub 服務進行解析。 深入了解:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 BotService 資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 BotService 相關資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定認知服務帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對認知服務帳戶進行解析。 深入了解:https://go.microsoft.com/fwlink/?linkid=2110097。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定容器登錄以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,針對您的 Azure Container Registry 進行解析。 深入了解:https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 CosmosDB 帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 CosmosDB 帳戶進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists, Disabled | 2.0.0 |
| 將 Azure 網路安全性群組的診斷設定設定為 Log Analytics 工作區 | 將診斷設定部署到 Azure 網路安全性群組,以將資源記錄串流到 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定磁碟存取資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對受控磁碟進行解析。 深入了解:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定事件中樞命名空間以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對事件中樞命名空間進行解析。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 IoT 中樞裝置佈建執行個體以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure IoT 中樞裝置佈建服務執行個體進行解析。 深入了解:https://aka.ms/iotdpsvnet。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定網路安全性群組以啟用流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有網路安全性群組啟用流量分析。 如果已啟用流量分析,則原則不會覆寫其設定。 網路安全性群組也會啟用流量記錄 (如果尚未啟用)。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定網路安全性群組以使用特定工作區、儲存體帳戶和流量記錄保留原則進行流量分析 | 如果已啟用流量分析,則原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定連線到應用程式組態的私人端點私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析應用程式組態執行個體。 深入了解:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為連線到 Azure Data Factory 的私人端點設定私人 DNS 區域 | 私人 DNS 記錄允許針對私人端點的私人連線。 私人端點連線允許安全通訊,方法是啟用您 Azure Data Factory 的私人連線,而無需來源或目的地上的公用 IP 位址。 如需 Azure Data Factory 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Azure AD 的私人連結以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以解析為 Azure AD。 深入了解:https://aka.ms/privateLinkforAzureADDocs。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定服務匯流排命名空間以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 服務匯流排命名空間進行解析。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定虛擬網路以啟用流量記錄和流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有虛擬網路啟用流量分析和流量記錄。 此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.1.1 |
| 將虛擬網路設定為針對流量記錄和流量分析強制執行工作區、儲存體帳戶和保留間隔 | 如果虛擬網路已啟用流量分析,則此原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists, Disabled | 1.1.2 |
| 部署 - 設定 Azure 事件方格網域以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| 部署 - 設定 Azure 事件方格主題以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| 部署 - 設定 Azure IoT 中樞以使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會針對 IoT 中樞私人端點部署私人 DNS 區域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 部署 - 將 IoT Central 設定為使用私人 DNS 區域 | Azure Private DNS 提供一個可靠、安全的 DNS 服務,讓您不必新增自訂 DNS 解決方案,就能管理及解析虛擬網路中的網域名稱。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會為 IoT Central 私人端點部署私人 DNS 區域。 | DeployIfNotExists, Disabled | 1.0.0 |
| 部署 - 為連線到 Azure SignalR Service 的私人端點設定私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure SignalR Service 資源進行解析。 深入了解:https://aka.ms/asrs/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
| 部署 - 為連線到 Batch 帳戶的私人端點設定私人 DNS 區域 | 私人 DNS 記錄允許針對私人端點的私人連線。 私人端點連線允許安全通訊,方法是啟用 Batch 帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 如需 Azure Batch 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用目標網路安全性群組部署流量記錄資源 | 設定特定網路安全性群組的流量記錄。 其可記錄流過網路安全性群組的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | deployIfNotExists | 1.1.0 |
| 使用目標虛擬網路部署流量記錄資源 | 設定特定虛擬網路的流量記錄。 其可記錄流過虛擬網路的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | DeployIfNotExists, Disabled | 1.1.1 |
| 部署網路安全性群組的診斷設定 | 此原則會將診斷設定自動部署至網路安全性群組。 名為 '{storagePrefixParameter}{NSGLocation}' 的儲存體帳戶將會自動建立。 | deployIfNotExists | 2.0.1 |
| 於虛擬網路建立時部署網路監看員 | 此原則會在具有虛擬網路的區域中建立網路監看員資源。 您必須確定名為 networkWatcherRG 的資源群組是否存在,其將用來部署網路監看員執行個體。 | DeployIfNotExists | 1.0.0 |
| 針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 microsoft.network/vpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/vpngateways 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/vpngateways 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkanalytics/dataproducts 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkanalytics/dataproducts 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkanalytics/dataproducts 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkanalytics/dataproducts 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkanalytics/dataproducts 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkanalytics/dataproducts 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/baremetalmachines 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/baremetalmachines 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/baremetalmachines 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/baremetalmachines 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/baremetalmachines 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/baremetalmachines 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/clusters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/clusters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/clusters 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/clusters 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/clusters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/clusters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/storageappliances 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/storageappliances 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/storageappliances 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/storageappliances 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/storageappliances 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/storageappliances 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkfunction/azuretrafficcollectors 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkfunction/azuretrafficcollectors 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkfunction/azuretrafficcollectors 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkfunction/azuretrafficcollectors 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkfunction/azuretrafficcollectors 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkfunction/azuretrafficcollectors 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路管理員 (microsoft.network/networkmanagers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路管理員 (microsoft.network/networkmanagers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路管理員 (microsoft.network/networkmanagers) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路管理員 (microsoft.network/networkmanagers) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路管理員 (microsoft.network/networkmanagers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路管理員 (microsoft.network/networkmanagers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路安全性群組 (microsoft.network/networksecuritygroups) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路安全性群組 (microsoft.network/networksecuritygroups) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路安全性群組 (microsoft.network/networksecuritygroups) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路安全性群組 (microsoft.network/networksecuritygroups) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路安全性群組 (microsoft.network/networksecuritygroups) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路安全性群組 (microsoft.network/networksecuritygroups) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對公用 IP 位址 (microsoft.network/publicipaddresses) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 位址 (microsoft.network/publicipaddresses) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對公用 IP 位址 (microsoft.network/publicipaddresses) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 位址 (microsoft.network/publicipaddresses) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對公用 IP 位址 (microsoft.network/publicipaddresses) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 位址 (microsoft.network/publicipaddresses) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對虛擬網路 (microsoft.network/virtualnetworks) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路 (microsoft.network/virtualnetworks) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對虛擬網路 (microsoft.network/virtualnetworks) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路 (microsoft.network/virtualnetworks) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對虛擬網路 (microsoft.network/virtualnetworks) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路 (microsoft.network/virtualnetworks) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 閘道子網路不應設定網路安全性群組 | 若閘道子網路中設定了網路安全性群組,此原則將予以拒絕。 為閘道子網路指派網路安全性群組,將導致閘道停止運作。 | 拒絕 | 1.0.0 |
| 將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則 | 如果您具有 WAF 組態而非 WAF 原則,您可能想要移至新的 WAF 原則。 其後,防火牆原則將支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。 | Audit, Deny, Disabled | 1.0.0 |
| 網路介面應連線至已核准虛擬網路的已核准子網路 | 此原則會阻止網路介面連線到未核准的虛擬網路或子網路。 https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| 網路介面應停用 IP 轉送 | 此原則會拒絕已啟用 IP 轉送的網路介面。 IP 轉送的設定會使 Azure 停止檢查網路介面的來源和目的地。 這應該由網路安全性小組來檢閱。 | 拒絕 | 1.0.0 |
| 網路介面不應設定公用 IP | 此原則會拒絕設定了任何公用 IP 的網路介面。 公用 IP 位址可讓網際網路資源對 Azure 資源進行輸入通訊,以及讓 Azure 資源對網際網路進行輸出通訊。 這應該由網路安全性小組來檢閱。 | 拒絕 | 1.0.0 |
| 網路監看員流程記錄應已啟用流量分析 | 流量分析可以分析流量記錄,讓您深入了解 Azure 雲端中的流量。 它可用來視覺化 Azure 訂用帳戶中的網路活動,並識別作用點、識別安全性威脅、了解流量模式、找出網路錯誤設定等等。 | Audit, Disabled | 1.0.1 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 公用 IP 位址應為 Azure DDoS 保護啟用資源記錄 | 在診斷設定中啟用公用 IP 位址的資源記錄,以串流至 Log Analytics 工作區。 透過通知、報告和流量記錄,深入了解攻擊流量及為降低 DDoS 攻擊所採取的動作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 公用IP和公用IP前綴應具有 FirstPartyUsage 標籤 | 確定所有公用IP位址和公用IP前綴都有 FirstPartyUsage 標籤。 | Audit, Deny, Disabled | 1.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
| 子網應該是私人的 | 藉由防止預設的輸出存取,確定您的子網是安全的。 如需詳細資訊,請移至 https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, Disabled | 1.0.0 |
| 虛擬中樞應使用 Azure 防火牆保護 | 將 Azure 防火牆部署至虛擬中樞,以保護和細微控制網際網路輸出和輸入流量。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應該連線到已核准的虛擬網路 | 此原則會稽核任何連線到未核准之虛擬網路的虛擬機器。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬網路應受 Azure DDoS 保護的保護 | 使用 Azure DDoS 保護來保護您的虛擬網路,防止體積型和通訊協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 |
| 虛擬網路應該使用指定的虛擬網路閘道 | 此原則會稽核任何虛擬網路是否預設路由未指向指定的虛擬網路閘道。 | AuditIfNotExists, Disabled | 1.0.0 |
| VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證 | 停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證,藉此提升安全性。 深入了解 Azure AD 驗證,請參閱https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。