本頁為Azure 原則內建政策定義的索引,適用於Azure 虛擬網路。 如需其他服務的更多Azure 原則內建功能,請參見 Azure 原則內建定義。
每個內建政策定義的名稱會連結到 Azure 入口網站中的政策定義。 請使用Version欄位中的連結,查看Azure 原則 GitHub repo的原始碼。
Azure 虛擬網路
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure 資訊安全中心 已發現,有些子網路並未受到下一代防火牆的保護。 透過使用 Azure 防火牆 或支援的次世代防火牆限制子網存取,保護它們免受潛在威脅 | AuditIfNotExists,已停用 | 3.0.0-preview | |
| [預覽]:Container Registry 應使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Container Registry。 | 稽核、已停用 | 1.0.0-preview |
| 必須對所有虛擬網路閘道連線套用自訂的IPsec/IKE政策Azure | 此政策確保所有虛擬網路閘道連線Azure使用自訂的網際協定安全(Ipsec)/網際網路金鑰Exchange(IKE)政策。 支援的演算法和金鑰強度 - https://aka.ms/AA62kb0 | 稽核、已停用 | 1.0.0 |
| 所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否為已啟用。 啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 稽核、已停用 | 1.0.1 |
| App Service 應用程式應使用虛擬網路服務端點 | 使用虛擬網路服務端點來限制從 Azure 虛擬網路中選取的子網存取你的應用程式。 若要深入了解 App Service 服務端點,請瀏覽 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists,已停用 | 2.0.1 |
| 稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確定是否已設定流量記錄。 啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 稽核、已停用 | 1.0.1 |
| 容器的 Azure 應用程式閘道 必須有安全政策 | 確保容器應用閘道至少設定一項安全政策 | AuditIfNotExists,已停用 | 1.0.0 |
| 需要 Azure 應用程式閘道 資源部署於 Azure WAF。 | 稽核、拒絕、停用 | 1.0.0 | |
| Azure 防火牆 經典規則應該遷移到 Firewall Policy | 從 Azure 防火牆 Classic Rules 遷移到 Firewall Policy,以利用中央管理工具如 Azure 防火牆管理員。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆 政策分析應該啟用 | 啟用政策分析能提升對 Azure 防火牆 流量的可視性,優化防火牆設定而不影響應用程式效能 | 稽核、已停用 | 1.0.0 |
| Azure 防火牆 政策應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址與網域來源為 Microsoft Threat Intelligence 資料來源。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆 政策應該啟用 DNS 代理 | 啟用 DNS Proxy 會讓與此政策相關的 Azure 防火牆 監聽 53 埠,並將 DNS 請求轉發給指定的 DNS 伺服器 | 稽核、已停用 | 1.0.0 |
| Azure 防火牆 應該部署以跨越多個 可用性區域 | 為了提升可用性,我們建議將 Azure 防火牆 部署到多個 可用性區域。 這確保了在區域故障發生時,你的 Azure 防火牆 仍能保持可用。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆標準-經典規則應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址與網域來源為 Microsoft Threat Intelligence 資料來源。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆標準應升級為高級級以獲得下一代保護 | 如果你在尋找像 IDPS 和 TLS 檢查這類次世代保護,建議你考慮將 Azure 防火牆 升級為高級 SKU。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure VPN 閘道器不應該使用「基本」的 SKU | 此原則可確保 VPN 閘道不使用「基本」SKU。 | 稽核、已停用 | 1.0.0 |
| Azure Web 應用程式防火牆 在 Azure 應用程式閘道 上應該啟用請求車體檢查 | 確保與 Azure 應用程式 Gateway 相關的 Web 應用程式防火牆已啟用請求體檢查功能。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Front Door 上的 Azure Web 應用程式防火牆 應該啟用了請求車體檢查 | 確保與 Azure Front Doors 相關的網頁應用防火牆已啟用請求體檢查功能。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Web 應用程式防火牆 應該啟用給Azure Front Door入口點 | 在面向公開的網頁應用程式前部署 Azure Web 應用程式防火牆(WAF),以加強對進來流量的檢查。 Web 應用程式防火牆(WAF)提供集中式保護您的網頁應用程式,防止常見的漏洞與漏洞,例如 SQL 注入、跨站腳本、本地及遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | 稽核、拒絕、停用 | 1.0.2 |
| Bot 保護應啟用於 Azure 應用程式閘道 WAF | 此政策確保所有Azure 應用程式閘道 Web 應用程式防火牆(WAF)政策中啟用機器人保護 | 稽核、拒絕、停用 | 1.0.0 |
| Bot 保護應啟用Azure Front Door WAF | 此政策確保所有Azure Front Door Web 應用程式防火牆(WAF)政策中啟用機器人保護 | 稽核、拒絕、停用 | 1.0.0 |
| 為Azure網路安全群組設定診斷設定,以Log Analytics工作空間 | 將診斷設定部署到 Azure 網路安全群組,以便將資源日誌串流到 Log Analytics 工作區。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定網路安全性群組以啟用流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有網路安全性群組啟用流量分析。 如果已啟用流量分析,則原則不會覆寫其設定。 網路安全性群組也會啟用流量記錄 (如果尚未啟用)。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.2.0 |
| 設定網路安全性群組以使用特定工作區、儲存體帳戶和流量記錄保留原則進行流量分析 | 如果已啟用流量分析,則原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.2.0 |
| 設定虛擬網路以啟用流量記錄和流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有虛擬網路啟用流量分析和流量記錄。 此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.1.1 |
| 將虛擬網路設定為針對流量記錄和流量分析強制執行工作區、儲存體帳戶和保留間隔 | 如果虛擬網路已啟用流量分析,則此原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.1.2 |
| Cosmos DB 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 | 稽核、已停用 | 1.0.0 |
| 在指定的範圍內建立一個中央Log Analytics工作區,並在資源群組下預設為 nwtarg-<subscriptionID>,用於 VNet 流程日誌。 | DeployIfNotExists,已停用 | 1.0.0 | |
| 在 NetworkWatcherRGB 中建立區域 NetworkWatcher for VNet Flowlogs | 此政策會在指定區域建立一個 網路監看員,以啟用虛擬網路的 Flowlogs。 | DeployIfNotExists,已停用 | 1.0.0 |
| 在 resourceGroupName RG 中為 VNet Flowlogs 建立區域儲存帳號 | 在指定的範圍內建立區域儲存帳號,預設在資源群組 nwtarg-subscriptionID<> 下用於 VNet 流程日誌。 | DeployIfNotExists,已停用 | 1.0.0 |
| 使用目標網路安全性群組部署流量記錄資源 | 設定特定網路安全性群組的流量記錄。 其可記錄流過網路安全性群組的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | deployIfNotExists | 1.1.0 |
| 使用目標虛擬網路部署流量記錄資源 | 設定特定虛擬網路的流量記錄。 其可記錄流過虛擬網路的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | DeployIfNotExists,已停用 | 1.1.1 |
| 於虛擬網路建立時部署網路監看員 | 此原則會在具有虛擬網路的區域中建立網路監看員資源。 您必須確定名為 networkWatcherRG 的資源群組是否存在,其將用來部署網路監看員執行個體。 | DeployIfNotExists | 1.0.0 |
| 部署具備流量分析的VNet流量日誌,適用於區域儲存及集中式Log Analytics | 部署具備流量分析的 VNet 流量日誌,適用於具備區域儲存及集中式 Log Analytics 的 VNet。 在修復前,請確保 resourceGroupName、Resource Group、Storage Account、Log Analytics Workspace、網路監看員 都已經部署完成。 | DeployIfNotExists,已停用 | 1.0.0 |
| Azure Web 應用程式防火牆(WAF)的 Azure Front Door 速率限制規則控制在速率限制期間,特定用戶端 IP 位址允許對應用程式的請求數量。 | 稽核、拒絕、停用 | 1.0.0 | |
| 事件中樞應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的事件中樞。 | AuditIfNotExists,已停用 | 1.0.0 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 稽核、已停用 | 1.1.0 |
| 閘道子網路不應設定網路安全性群組 | 若閘道子網路中設定了網路安全性群組,此原則將予以拒絕。 為閘道子網路指派網路安全性群組,將導致閘道停止運作。 | deny | 1.0.0 |
| 金鑰保存庫 應該使用虛擬網路服務端點 | 此政策會稽核任何未設定為使用虛擬網路服務端點的 金鑰保存庫。 | 稽核、已停用 | 1.0.0 |
| 將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則 | 如果您具有 WAF 組態而非 WAF 原則,您可能想要移至新的 WAF 原則。 其後,防火牆原則將支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。 | 稽核、拒絕、停用 | 1.0.0 |
| 網路介面應停用 IP 轉送 | 此原則會拒絕已啟用 IP 轉送的網路介面。 IP 轉發設定會禁用 Azure 對網路介面來源與目的地的檢查。 這應該由網路安全性小組來檢閱。 | deny | 1.0.0 |
| 網路介面不應設定公用 IP | 此原則會拒絕設定了任何公用 IP 的網路介面。 公共 IP 位址允許網際網路資源與 Azure 資源的入站通訊,以及 Azure 資源的出站與網際網路的通訊。 這應該由網路安全性小組來檢閱。 | deny | 1.0.0 |
| 網路監看員 流量日誌應該啟用流量分析 | 流量分析分析流量日誌,提供您 Azure 雲端的流量洞察。 它可用來視覺化Azure訂閱期間的網路活動,識別熱點、識別安全威脅、理解流量模式、精確定位網路設定錯誤等。 | 稽核、已停用 | 1.0.1 |
| 網路監看員應該啟用 | 網路監看員 是一項區域性服務,讓您能在 Azure 中、與 Azure 及從 Azure 連線到網路情境層級監控與診斷狀況。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists,已停用 | 3.0.0 |
| 公用 IP 和公用 IP 首碼應具有 FirstPartyUsage 標籤 | 確定所有公用 IP 位址和公用 IP 首碼都有 FirstPartyUsage 標籤。 | 稽核、拒絕、停用 | 1.1.0 |
| SQL Server 應該使用虛擬網路服務端點 | 此政策會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 | AuditIfNotExists,已停用 | 1.0.0 |
| 儲存體帳戶應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的儲存體帳戶。 | 稽核、已停用 | 1.0.0 |
| 子網路應該是私人的 | 藉由防止預設的輸出存取,確定您的子網路是安全的。 如需詳細資訊,請移至 https://aka.ms/defaultoutboundaccessretirement | 稽核、拒絕、停用 | 1.1.0 |
| 在虛擬樞紐部署 Azure 防火牆,以保護並細緻控制網路的出口與入口流量。 | 稽核、拒絕、停用 | 1.0.0 | |
| 虛擬機器應該連線到已核准的虛擬網路 | 此原則會稽核任何連線到未核准之虛擬網路的虛擬機器。 | 稽核、拒絕、停用 | 1.0.0 |
| 利用 Azure DDoS 保護,保護您的虛擬網路免受體積與協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 | |
| 虛擬網路應該使用指定的虛擬網路閘道 | 此原則會稽核任何虛擬網路是否預設路由未指向指定的虛擬網路閘道。 | AuditIfNotExists,已停用 | 1.0.0 |
| VPN 閘道器應僅對點對點用戶使用Azure Active Directory(Azure AD)認證 | 關閉本地認證方法可提升安全性,確保 VPN 閘道器僅使用 Azure Active Directory 身份來進行認證。 想了解更多關於 Azure AD 認證的資訊,請見 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | 稽核、拒絕、停用 | 1.0.0 |
| 應用閘道Web 應用程式防火牆(WAF)> | 在面向公開的網頁應用程式前部署 Azure Web 應用程式防火牆(WAF),以加強對進來流量的檢查。 Web 應用程式防火牆(WAF)提供集中式保護您的網頁應用程式,防止常見的漏洞與漏洞,例如 SQL 注入、跨站腳本、本地及遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | 稽核、拒絕、停用 | 2.0.0 |
| 強制所有 Web 應用程式防火牆 的 Application Gateway 政策必須啟用「偵測」或「預防」模式。 | 稽核、拒絕、停用 | 1.0.0 | |
| Web 應用程式防火牆(WAF)應使用指定的模式來Azure Front Door Service | 強制所有 Azure Front Door Service 的 Web 應用程式防火牆 政策必須啟用「偵測」或「預防」模式。 | 稽核、拒絕、停用 | 1.0.0 |
Tags
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 將標籤新增至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如果標籤以不同的值存在,則不會遭到變更。 | modify | 1.0.0 |
| 將標籤新增至資源 | 當建立或更新了任何遺失指定標籤的資源時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 資源群組上的標記不會修改。 | modify | 1.0.0 |
| 將標籤新增至訂用帳戶 | 透過補救工作,將指定的標籤和值新增至訂用帳戶。 如果標籤以不同的值存在,則不會遭到變更。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
| 新增或置換資源群組上的標籤 | 當建立或更新了任何資源群組時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 | modify | 1.0.0 |
| 新增或置換資源上的標籤 | 當建立或更新了任何資源時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 資源群組上的標記不會修改。 | modify | 1.0.0 |
| 新增或取代訂用帳戶上的標籤 | 透過補救工作,在訂用帳戶上新增或取代指定的標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation。 | modify | 1.0.0 |
| 附加來自資源群組的標籤及其值 | 當建立或更新了任何遺失指定標籤的資源時,便附加來自資源群組的這個標籤及其值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
| 將標籤及其值附加至資源群組 | 當建立或更新了任何遺失指定標籤的資源群組時,便附加此標籤和值。 在這些資源群組有所變更之前,不會修改在套用此原則之前所建立的資源群組標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.0 |
| 將標籤及其值附加至資源 | 當建立或更新了任何遺失指定標籤的資源時,便附加此標籤和值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 不會套用至資源群組。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 | 附加 | 1.0.1 |
| 從資源群組繼承標籤 | 當建立或更新了任何資源時,新增或取代來自父代資源群組中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 | modify | 1.0.0 |
| 從資源群組繼承標籤 (若遺漏) | 當建立或更新了任何遺失指定標籤的資源時,便新增來自父代資源群組的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 | modify | 1.0.0 |
| 從訂用帳戶繼承標籤 | 當建立或更新了任何資源時,新增或取代包含訂用帳戶中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 | modify | 1.0.0 |
| 若缺少標籤,則從訂用帳戶予以繼承 | 當建立或更新了任何遺失指定標籤的資源時,便新增來自包含訂用帳戶的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 | modify | 1.0.0 |
| 資源群組必須有標籤及其值 | 強制資源群組上必要的標籤及其值。 | deny | 1.0.0 |
| 資源必須有標籤及其值 | 強制必要標籤和其值。 不會套用至資源群組。 | deny | 1.0.1 |
| 資源群組必須有標籤 | 施行資源群組必須具備標籤。 | deny | 1.0.0 |
| 資源必須有標籤 | 強制存在標籤。 不會套用至資源群組。 | deny | 1.0.1 |
General
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組,Microsoft。AzureActiveDirectory/b2cDirectories,以及使用「全球」區域的資源。 | 稽核、拒絕、停用 | 1.1.0 |
| 允許資源群組的位置 | 此原則可讓您限制貴組織可在其中建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 稽核、拒絕、停用 | 1.1.0 |
| 允許的資源類型 | 此原則可讓您指定組織所能部署的資源類型。 只有支援「標籤」和「位置」的資源類型會受此原則影響。 若要限制所有資源,請複製此原則,並將 [模式] 變更為 [全部]。 | 稽核、拒絕、停用 | 1.1.0 |
| 稽核資源位置是否符合資源群組位置 | 稽核資源位置是否符合其資源群組位置 | 稽核、拒絕、停用 | 2.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | 稽核、已停用 | 1.0.1 |
| 設定訂用帳戶以設定預覽功能 | 此原則會評估現有訂用帳戶的預覽功能。 您可以補救訂用帳戶以註冊至新的預覽功能。 新的訂用帳戶不會自動註冊。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 不允許刪除資源類型 | 此原則可讓您指定組織可以使用拒絕動作效果封鎖刪除呼叫,以防止意外刪除的資源類型。 | DenyAction、Disabled | 1.0.1 |
| 不允許 M365 資源 | 封鎖 M365 資源的建立。 | 稽核、拒絕、停用 | 1.0.0 |
| 不允許 MCPP 資源 | 封鎖 MCPP 資源的建立。 | 稽核、拒絕、停用 | 1.0.0 |
| 排除使用量成本資源 | 此原則可讓您排除使用量成本資源。 使用成本包括像是計量儲存和 Azure 資源,這些都是根據使用量計費的。 | 稽核、拒絕、停用 | 1.0.0 |
| 不允許的資源類型 | 限制可以在環境中部署哪些資源類型。 限制資源類型可減少環境的複雜度和受攻擊面,同時也有助於管理成本。 只有不符合規範的資源會顯示合規性結果。 | 稽核、拒絕、停用 | 2.0.0 |
| 使用者必須使用多重要素驗證進行驗證,才能建立或更新資源 | 當呼叫端未透過 MFA 進行驗證時,此原則定義會封鎖資源建立和更新作業。 如需詳細資訊,請瀏覽 https://aka.ms/mfaforazure。 | 稽核、拒絕、停用 | 1.1.0 |
| 使用者必須使用多重要素驗證進行驗證,才能刪除資源 | 當呼叫端未透過 MFA 進行驗證時,此原則定義會封鎖資源刪除作業。 如需詳細資訊,請瀏覽 https://aka.ms/mfaforazure。 | AuditAction、DenyAction、Disabled | 1.1.0 |
後續步驟
- 請參考 Azure 原則 GitHub 倉庫 上的內建功能。
- 請檢視Azure 原則定義結構。
- 檢閱了解原則效果。