適用於 Azure 虛擬網路的 Azure 原則內建定義
此頁面是 Azure 虛擬網絡 內建原則定義的 Azure 原則 索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure 虛擬網路
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
| [預覽]:Container Registry 應使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 Container Registry。 | Audit, Disabled | 1.0.0-preview |
| 必須將自訂的 IPsec/IKE 原則套用至所有 Azure 虛擬網路閘道連線 | 此原則可確保所有 Azure 虛擬網路網關聯機都使用自定義因特網通訊協定安全性(Ipsec)/因特網密鑰交換(IKE) 原則。 支援的演算法和關鍵優勢 - https://aka.ms/AA62kb0 | Audit, Disabled | 1.0.0 |
| 所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否已啟用。 啟用流量記錄可讓您記錄IP流量流動的相關信息。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
| App Service 應用程式應使用虛擬網路服務端點 | 使用虛擬網路服務端點來限制從 Azure 虛擬網路選取的子網存取您的應用程式。 若要深入瞭解 App Service 服務端點,請流覽 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists, Disabled | 2.0.1 |
| 稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確認是否已設定流量記錄。 啟用流量記錄可記錄流經虛擬網路的IP流量相關信息。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
| 應使用 Azure WAF 部署 Azure 應用程式閘道 | 需要使用 Azure WAF 部署 Azure 應用程式閘道 資源。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 防火牆原則應在應用程式規則內啟用 TLS 檢查 | 建議針對所有應用程式規則啟用 TLS 檢查,以偵測、警示及降低 HTTPS 中的惡意活動。 若要深入瞭解使用 Azure 防火牆 進行 TLS 檢查,請流覽https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Azure 防火牆 進階版 應設定有效的中繼憑證,以啟用 TLS 檢查 | 設定有效的中繼憑證,並啟用 Azure 防火牆 進階版 TLS 檢查,以偵測、警示及降低 HTTPS 中的惡意活動。 若要深入瞭解使用 Azure 防火牆 進行 TLS 檢查,請流覽https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Azure VPN 閘道不應使用「基本」SKU | 此原則可確保 VPN 閘道不會使用「基本」SKU。 | Audit, Disabled | 1.0.0 |
| azure Web 應用程式防火牆 on Azure 應用程式閘道 應該已啟用要求主體檢查 | 確定與 Azure 應用程式閘道 相關聯的 Web 應用程式防火牆 已啟用要求主體檢查。 這可讓 WAF 檢查 HTTP 主體內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 上的 Azure Web 應用程式防火牆 應該已啟用要求主體檢查 | 確定與 Azure Front Door 相關聯的 Web 應用程式防火牆 已啟用要求主體檢查。 這可讓 WAF 檢查 HTTP 主體內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應針對 WAF 啟用 Bot 保護 Azure 應用程式閘道 | 此原則可確保所有 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 原則中都啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
| 應針對 Azure Front Door WAF 啟用 Bot 保護 | 此原則可確保所有 Azure Front Door Web 應用程式防火牆 (WAF) 原則都已啟用 Bot 保護 | Audit, Deny, Disabled | 1.0.0 |
| 防火牆原則 進階版 中應空白的入侵檢測與預防系統 (IDPS) 略過清單 | 入侵檢測與預防系統 (IDPS) 旁路清單可讓您不篩選流向旁路清單中指定之任何 IP 位址、範圍和子網的流量。 不過,系統會針對所有流量重新命令啟用IDPS,以更清楚地識別已知的威脅。 若要深入瞭解具有 Azure 防火牆 進階版 的入侵檢測與預防系統 (IDPS) 簽章,請流覽https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| 將 Azure 網路安全組的診斷設定設定設定為 Log Analytics 工作區 | 將診斷設定部署至 Azure 網路安全組,以將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定網路安全組以啟用使用分析 | 您可以使用原則建立期間提供的設定,為裝載在特定區域中的所有網路安全組啟用使用分析。 如果已啟用使用分析,則原則不會覆寫其設定。 流量記錄也會針對沒有流量的網路安全組啟用。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.2.0 |
| 將網路安全組設定為使用使用分析的特定工作區、記憶體帳戶和流量記錄保留原則 | 如果已啟用使用分析,則原則將會以原則建立期間所提供的設定覆寫其現有的設定。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定虛擬網路以啟用流量記錄和使用分析 | 您可以使用原則建立期間提供的設定,針對特定區域中裝載的所有虛擬網路啟用使用分析與流量記錄。 此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.1.1 |
| 設定虛擬網路以強制執行流量記錄和使用分析的工作區、記憶體帳戶和保留間隔 | 如果虛擬網路已啟用使用分析,則此原則將會以原則建立期間所提供的設定覆寫其現有的設定。 使用分析是雲端式解決方案,可提供雲端網路中使用者和應用程式活動的可見度。 | DeployIfNotExists, Disabled | 1.1.2 |
| Cosmos DB 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 | Audit, Disabled | 1.0.0 |
| 使用目標網路安全組部署流量記錄資源 | 設定特定網路安全組的流程記錄。 它允許記錄流經網路安全組的IP流量相關信息。 流量記錄有助於識別未知或不想要的流量、驗證網路隔離與企業存取規則的合規性、分析來自遭入侵IP和網路介面的網路流程。 | deployIfNotExists | 1.1.0 |
| 使用目標虛擬網路部署流量記錄資源 | 設定特定虛擬網路的流量記錄。 它允許記錄流經虛擬網路的IP流量相關信息。 流量記錄有助於識別未知或不想要的流量、驗證網路隔離與企業存取規則的合規性、分析來自遭入侵IP和網路介面的網路流程。 | DeployIfNotExists, Disabled | 1.1.1 |
| 於虛擬網路建立時部署網路監看員 | 此原則會在具有虛擬網路的區域建立網路監看員資源。 您必須確保有名為 networkWatcherRG 的資源群組存在,此群組將用來部署網路監看員實例。 | DeployIfNotExists | 1.0.0 |
| 啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
| 事件中樞應該使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何事件中樞。 | AuditIfNotExists, Disabled | 1.0.0 |
| 防火牆原則 進階版 應啟用所有IDPS簽章規則,以監視所有輸入和輸出流量 | 重新命令啟用所有入侵檢測與預防系統 (IDPS) 簽章規則,以更清楚地識別流量中的已知威脅。 若要深入瞭解具有 Azure 防火牆 進階版 的入侵檢測與預防系統 (IDPS) 簽章,請流覽https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| 防火牆原則 進階版 應啟用入侵檢測與預防系統 (IDPS) | 啟用入侵檢測與預防系統 (IDPS) 可讓您監視網路是否有惡意活動、記錄此活動的相關信息、報告它,以及選擇性地嘗試封鎖它。 若要深入瞭解具有 Azure 防火牆 進階版 的入侵檢測與預防系統(IDPS),請流覽https://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全組,以確認是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 閘道子網路不應設定網路安全性群組 | 如果閘道子網已設定網路安全組,此原則會拒絕。 將網路安全組指派給閘道子網會導致閘道停止運作。 | 拒絕 | 1.0.0 |
| Key Vault 應該使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 金鑰保存庫。 | Audit, Disabled | 1.0.0 |
| 將 WAF 從 WAF 設定移轉至 應用程式閘道 上的 WAF 原則 | 如果您有 WAF 設定,而不是 WAF 原則,則您可能想要移至新的 WAF 原則。 接下來,防火牆原則將支援WAF原則設定、受控規則集、排除和停用的規則群組。 | Audit, Deny, Disabled | 1.0.0 |
| 網路介面應該停用IP轉送 | 此原則會拒絕啟用IP轉送的網路介面。 IP 轉送的設定會停用 Azure 對網路介面的來源和目的地檢查。 這應該由網路安全性小組檢閱。 | 拒絕 | 1.0.0 |
| 網路介面不應該有公用IP | 此原則會拒絕使用任何公用IP設定的網路介面。 公用IP位址可讓因特網資源對Azure資源進行輸入通訊,而 Azure 資源則會將輸出通訊至因特網。 這應該由網路安全性小組檢閱。 | 拒絕 | 1.0.0 |
| 網路監看員流程記錄應已啟用流量分析 | 使用分析會分析流量記錄,以提供 Azure 雲端中流量的深入解析。 它可用來可視化 Azure 訂用帳戶之間的網路活動,並識別熱點、識別安全性威脅、瞭解流量模式、找出網路設定錯誤等等。 | Audit, Disabled | 1.0.1 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| SQL Server 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 | AuditIfNotExists, Disabled | 1.0.0 |
| 儲存體帳戶應該使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 儲存體 帳戶。 | Audit, Disabled | 1.0.0 |
| 訂用帳戶應設定 Azure 防火牆 進階版 以提供額外的保護層 | Azure 防火牆 進階版 提供進階威脅防護,以滿足高度敏感且受管制的環境需求。 將 Azure 防火牆 進階版 部署至您的訂用帳戶,並確定所有服務流量都受到 Azure 防火牆 進階版 保護。 若要深入瞭解 Azure 防火牆 進階版,請流覽https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| 虛擬機器應該連線到已核准的虛擬網路 | 此原則會稽核聯機到未核准之虛擬網路的任何虛擬機。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬網路應受 Azure DDoS 保護的保護 | 使用 Azure DDoS 保護來保護您的虛擬網路,防止體積型和通訊協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 |
| 虛擬網路應該使用指定的虛擬網路閘道 | 如果預設路由未指向指定的虛擬網路網關,此原則會稽核任何虛擬網路。 | AuditIfNotExists, Disabled | 1.0.0 |
| VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證 | 停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證,藉此提升安全性。 深入了解 Azure AD 驗證,請參閱https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應啟用應用程式閘道的所有防火牆規則 | 啟用所有 Web 應用程式防火牆 (WAF) 規則可強化您的應用程式安全性,並保護您的 Web 應用程式免於常見的弱點。 若要深入瞭解 Web 應用程式防火牆 應用程式閘道,請流覽https://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 授權在所有 Web 應用程式防火牆 原則上使用「偵測」或「預防」模式,以用於 應用程式閘道。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 授權在 Azure Front Door Service 的所有 Web 應用程式防火牆 原則上使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
標籤
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 將標籤新增至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
| 將標籤新增至資源 | 當建立或更新了任何遺失指定標籤的資源時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 資源群組上的標記不會修改。 | 修改 | 1.0.0 |
| 將標籤新增至訂用帳戶 | 透過補救工作,將指定的標籤和值新增至訂用帳戶。 如果標籤以不同的值存在,則不會遭到變更。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | 修改 | 1.0.0 |
| 新增或置換資源群組上的標籤 | 當建立或更新了任何資源群組時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 | 修改 | 1.0.0 |
| 新增或置換資源上的標籤 | 當建立或更新了任何資源時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 資源群組上的標記不會修改。 | 修改 | 1.0.0 |
| 新增或取代訂用帳戶上的標籤 | 透過補救工作,在訂用帳戶上新增或取代指定的標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | 修改 | 1.0.0 |
| 附加來自資源群組的標籤及其值 | 當建立或更新了任何遺失指定標籤的資源時,便附加來自資源群組的這個標籤及其值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
| 將標籤及其值附加至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便附加此標籤和值。 在這些資源群組有所變更之前,不會修改在套用此原則之前所建立的資源群組標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
| 將標籤及其值附加至資源 | 當建立或更新了任何遺失指定標籤的資源時,便附加此標籤和值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 不會套用至資源群組。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.1 |
| 從資源群組繼承標籤 | 當建立或更新了任何資源時,新增或取代來自父代資源群組中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 | 修改 | 1.0.0 |
| 從資源群組繼承標籤 (若遺漏) | 當建立或更新了任何遺失指定標籤的資源時,便新增來自父代資源群組的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
| 從訂用帳戶繼承標籤 | 當建立或更新了任何資源時,新增或取代包含訂用帳戶中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 | 修改 | 1.0.0 |
| 若缺少標籤,則從訂用帳戶予以繼承 | 當建立或更新了任何遺失指定標籤的資源時,便新增來自包含訂用帳戶的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 | 修改 | 1.0.0 |
| 資源群組必須有標籤及其值 | 強制資源群組上必要的標籤及其值。 | 拒絕 | 1.0.0 |
| 資源必須有標籤及其值 | 強制必要標籤和其值。 不會套用至資源群組。 | 拒絕 | 1.0.1 |
| 資源群組必須有標籤 | 施行資源群組必須具備標籤。 | 拒絕 | 1.0.0 |
| 資源必須有標籤 | 強制存在標籤。 不會套用至資源群組。 | 拒絕 | 1.0.1 |
| 需要資源沒有特定標籤。 | 拒絕建立包含指定標籤的資源。 不會套用至資源群組。 | Audit, Deny, Disabled | 2.0.0 |
一般
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用 'global' 區域的資源。 | 拒絕 | 1.0.0 |
| 允許資源群組的位置 | 此原則可讓您限制組織可以建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
| 允許的資源類型 | 此原則可讓您指定組織可以部署的資源類型。 只有支援 「標記」和「位置」的資源類型才會受到此原則的影響。 若要限制所有資源,請複製此原則,並將 『mode』 變更為 『All』。 | 拒絕 | 1.0.0 |
| 稽核資源位置符合資源群組位置 | 稽核資源位置是否符合其資源群組位置 | 稽核 | 2.0.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 設定訂用帳戶以設定預覽功能 | 此原則會評估現有訂用帳戶的預覽功能。 您可以補救訂用帳戶以註冊至新的預覽功能。 新的訂用帳戶將不會自動註冊。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 不允許刪除資源類型 | 此原則可讓您指定組織可以使用拒絕動作效果封鎖刪除呼叫,以防止意外刪除的資源類型。 | DenyAction、Disabled | 1.0.1 |
| 不允許 M365 資源 | 封鎖 M365 資源的建立。 | Audit, Deny, Disabled | 1.0.0 |
| 不允許MCPP資源 | 封鎖建立MCPP資源。 | Audit, Deny, Disabled | 1.0.0 |
| 排除使用量成本資源 | 此原則可讓您提供使用量成本資源。 使用量成本包括計量付費記憶體和 Azure 資源等專案,這些資源會根據使用量計費。 | Audit, Deny, Disabled | 1.0.0 |
| 不允許的資源類型 | 限制可在您的環境中部署哪些資源類型。 限制資源類型可以降低環境的複雜性和受攻擊面,同時協助管理成本。 合規性結果只會針對不符合規範的資源顯示。 | Audit, Deny, Disabled | 2.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。