Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс Azure Policy встроенных определений политик для Azure Virtual Network. Дополнительные встроенные Azure Policy для других служб см. в разделе Azure Policy встроенные определения.
Имя каждого встроенного определения политики ссылается на определение политики на портале Azure. Используйте ссылку в столбце Version для просмотра источника в репозитории Azure Policy GitHub.
Виртуальная сеть Azure
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [предварительная версия]: весь интернет-трафик должен направляться через развернутый Azure Firewall | Azure Security Center определил, что некоторые из подсетей не защищены брандмауэром следующего поколения. Защита подсетей от потенциальных угроз путем ограничения доступа к ним с помощью Azure Firewall или поддерживаемого брандмауэра следующего поколения | AuditIfNotExists, отключено | 3.0.0-preview |
| [Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети | Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети. | Аудит, отключено | 1.0.0-preview |
| A настраиваемая политика IPsec/IKE должна применяться ко всем подключениям шлюза виртуальной сети Azure | Эта политика гарантирует, что все подключения шлюза виртуальной сети Azure используют настраиваемую политику безопасности протокола Интернета (Ipsec)/Internet Key Exchange(IKE). Поддерживаемые алгоритмы и сила ключа — https://aka.ms/AA62kb0 | Аудит, отключено | 1.0.0 |
| Все ресурсы журнала потоков должны быть включены в состоянии | Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Аудит, отключено | 1.0.1 |
| Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети | Используйте конечные точки службы виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей из Azure виртуальной сети. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, отключено | 2.0.1 |
| Настройка журналов потоков аудита для каждой виртуальной сети | Аудит виртуальной сети, чтобы проверить, настроены ли журналы потоков. Включение журналов потоков позволяет регистрировать сведения о IP-трафике, потокуемом через виртуальную сеть. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Аудит, отключено | 1.0.1 |
| Azure Application Gateway для контейнеров должны иметь политики безопасности | Гарантирует, что в Application Gateway for Containers настроена хотя бы одна политика безопасности | AuditIfNotExists, отключено | 1.0.0 |
| Azure Application Gateway следует развернуть с Azure WAF | Требуется, чтобы ресурсы Azure Application Gateway развертывались с помощью Azure WAF. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure Firewall классические правила следует перенести в политику брандмауэра | Переход с Azure Firewall классических правил в политику брандмауэра для использования центральных средств управления, таких как Azure Firewall Manager. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure Firewall Аналитика политик должна быть включена | Включение аналитики политик обеспечивает улучшенную видимость трафика, который проходит через Azure Firewall, что позволяет оптимизировать конфигурацию брандмауэра без влияния на производительность приложения. | Аудит, отключено | 1.0.0 |
| политика Azure Firewall должна включить аналитику угроз | Фильтрация на основе Microsoft Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них. IP-адреса и домены создаются из веб-канала аналитики угроз Microsoft. | Аудит, отказ в доступе, отключено | 1.0.0 |
| политика Azure Firewall должна иметь dns-прокси-сервер включено | Включение DNS-прокси сделает Azure Firewall, связанные с этой политикой, чтобы прослушивать порт 53 и пересылать DNS-запросы на указанный DNS-сервер. | Аудит, отключено | 1.0.0 |
| Azure Firewall следует развернуть для нескольких Availability Zones | Для повышения доступности рекомендуется развернуть Azure Firewall для охвата нескольких Availability Zones. Это гарантирует, что Azure Firewall останется доступным в случае сбоя зоны. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure Firewall Standard — классические правила должны включать аналитику угроз | Фильтрация на основе Microsoft Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них. IP-адреса и домены создаются из веб-канала аналитики угроз Microsoft. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure Firewall Стандарт должен быть обновлен до уровня "Премиум" для защиты следующего поколения | Если вы ищете защиту следующего поколения, например проверку IDPS и TLS, следует рассмотреть возможность обновления Azure Firewall до номера SKU уровня "Премиум". | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure VPN-шлюзы не должны использовать SKU "basic" | Эта политика гарантирует, что шлюзы VPN не будут использовать SKU уровня "Базовый". | Аудит, отключено | 1.0.0 |
| Azure Web Application Firewall Azure Application Gateway должен иметь включена проверка тела запроса | Убедитесь, что брандмауэры веб-приложений, связанные с шлюзами Azure Application, имеют включенную проверку текста запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure Web Application Firewall Azure Front Door должен иметь включена проверка тела запроса | Убедитесь, что брандмауэры веб-приложений, связанные с Azure Front Door, имеют включенную проверку текста запроса. Это позволяет WAF проверять свойства в тексте HTTP, которые могут не оцениваться в заголовках HTTP, файлах cookie или URI. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Azure Web Application Firewall следует включить для Azure Front Door точек входа | Разверните Azure Web Application Firewall (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Web Application Firewall (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 1.0.2 |
| Bot Protection следует включить для Azure Application Gateway WAF | Эта политика гарантирует, что защита бота включена во всех политиках Azure Application Gateway Web Application Firewall (WAF) | Аудит, отказ в доступе, отключено | 1.0.0 |
| Bot Protection следует включить для Azure Front Door WAF | Эта политика гарантирует, что защита бота включена во всех политиках Azure Front Door Web Application Firewall (WAF) | Аудит, отказ в доступе, отключено | 1.0.0 |
| параметры диагностики Configure для групп безопасности сети Azure для Log Analytics рабочей области | Разверните параметры диагностики для Azure групп безопасности сети для потоковой передачи журналов ресурсов в рабочую область Log Analytics. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка групп безопасности сети для включения аналитики трафика | Аналитику трафика можно включить для всех групп безопасности сети, размещенных в определенном регионе, с параметрами, предоставленными во время создания политики. Если аналитика трафика уже включена, политика не перезаписывает ее параметры. Журналы потоков также включены для групп безопасности сети без аналитики трафика. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Настройка групп безопасности сети для использования конкретной рабочей области, учетной записи хранения и политики хранения потоков для аналитики трафика | Если аналитика трафика уже включена, политика перезапишет существующие параметры теми параметрами, которые были предоставлены при создании политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Настройка виртуальной сети для включения журнала потоков и аналитики трафика | Аналитика трафика и журналы потоков можно включить для всех виртуальных сетей, размещенных в определенном регионе, с параметрами, указанными во время создания политики. Эта политика не перезаписывает текущий параметр для виртуальных сетей, которые уже имеют эту функцию. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | РазвернутьЕслиНеСуществует, Отключено | 1.1.1 |
| Настройка виртуальных сетей для применения рабочей области, учетной записи хранения и интервала хранения для журналов потоков и аналитики трафика | Если виртуальная сеть уже включена аналитика трафика, эта политика перезаписывает существующие параметры с указанными во время создания политики. "Аналитика трафика" — это облачное решение, которое позволяет следить за действиями пользователя и приложения в облачных сетях. | РазвернутьЕслиНеСуществует, Отключено | 1.1.2 |
| Служба Cosmos DB должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех Cosmos DB, не настроенных на использование конечной точки службы виртуальной сети. | Аудит, отключено | 1.0.0 |
| Create central Log Analytics Workspace for VNet Flowlog Traffic Analytics в указанной группе ресурсов | Создайте центральную рабочую область Log Analytics в назначенной области и в группе ресурсов nwtarg-<subscriptionID> по умолчанию для потоков виртуальных сетей. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Создание региональной сетиWatcher в NetworkWatcherRG для потоков виртуальных сетей | Эта политика создает Network Watcher в указанном регионе, чтобы включить блоки потоков для виртуальных сетей. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Создание региональной учетной записи хранения для потоков виртуальных сетей в resourceGroupName RG | Создает региональную учетную запись хранения в назначенной области и в группе ресурсов nwtarg-subscriptionID<> по умолчанию для потоков виртуальных сетей. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Развертывание ресурса журнала потоков в целевой группе безопасности сети | Настраивает журнал потоков для определенной группы безопасности сети. Это позволяет регистрировать сведения об IP-трафике, передаваемом через группу безопасности сети. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. | deployIfNotExists | 1.1.0 |
| Развертывание ресурса журнала потоков с целевой виртуальной сетью | Настраивает журнал потоков для конкретной виртуальной сети. Он позволит регистрировать сведения о IP-трафике, проходящим через виртуальную сеть. Журнал потоков помогает определить неизвестный или нежелательный трафик, проверить сетевую изоляцию и соответствие корпоративным правилам доступа, проанализировать сетевые потоки со скомпрометированных IP-адресов и сетевых интерфейсов. | РазвернутьЕслиНеСуществует, Отключено | 1.1.1 |
| Развертывание наблюдателя за сетями при создании виртуальных сетей | Эта политика создает ресурс наблюдателя за сетями в регионах с виртуальными сетями. Необходимо обеспечить наличие группы ресурсов с именем networkWatcherRG, которая будет использоваться для развертывания экземпляров наблюдателя за сетями. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs с аналитикой трафика для виртуальных сетей с региональным хранилищем и централизованным Log Analytics | Развертывание журналов потоков виртуальной сети с помощью Аналитики трафика для виртуальных сетей с помощью регионального хранилища и централизованного Log Analytics. Перед исправлением убедитесь, что группа ресурсов resourceGroupName, учетная запись хранения, Log Analytics рабочая область, Network Watcher уже развернуты. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| правило Enable Rate Limit для защиты от атак DDoS на Azure Front Door WAF | Правило ограничения скорости Azure Web Application Firewall (WAF) для Azure Front Door определяет количество запросов, разрешенных с определенного IP-адреса клиента к приложению во время ограничения скорости. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Концентратор событий должен использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех концентраторов событий, не настроенных на использование конечной точки службы виртуальной сети. | AuditIfNotExists, отключено | 1.0.0 |
| Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Аудит, отключено | 1.1.0 |
| Подсети шлюза не следует настраивать с использованием группы безопасности сети. | Эта политика запрещает настройку подсети шлюза с помощью группы безопасности сети. Назначение группы безопасности сети для подсети шлюза приведет к тому, что шлюз перестанет работать. | deny | 1.0.0 |
| Key Vault должен использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит любых Key Vault, не настроенных для использования конечной точки службы виртуальной сети. | Аудит, отключено | 1.0.0 |
| Миграция WAF из WAF Config в политику WAF на Шлюз приложений | Если у вас есть конфигурация WAF вместо политики WAF, может потребоваться перейти к новой политике WAF. В дальнейшем политика брандмауэра будет поддерживать параметры политики WAF, управляемые наборы правил, исключения и отключенные группы правил. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Сетевые интерфейсы должны отключить перенаправление IP-адресов | Эта политика запрещает сетевые интерфейсы с включенным IP-перенаправлением. Параметр IP-пересылки отключает проверку источника и назначения для сетевого интерфейса Azure. Эта команда должна быть проверена командой безопасности сети. | deny | 1.0.0 |
| Сетевые интерфейсы не должны иметь общедоступных IP-адресов | Эта политика запрещает сетевые интерфейсы, настроенные с помощью любого общедоступного IP-адреса. Общедоступные IP-адреса позволяют интернет-ресурсам обмениваться данными с Azure ресурсами, а также Azure ресурсы для передачи исходящего трафика в Интернет. Эта команда должна быть проверена командой безопасности сети. | deny | 1.0.0 |
| журналы потоков Network Watcher должны включать аналитику трафика | Аналитика трафика анализирует журналы потоков для предоставления аналитических сведений о потоке трафика в облаке Azure. Его можно использовать для визуализации сетевых действий в подписках Azure и выявления горячих точек, выявления угроз безопасности, понимания шаблонов потока трафика, определения неправильной конфигурации сети и т. д. | Аудит, отключено | 1.0.1 |
| Network Watcher следует включить | Network Watcher — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
| Общедоступные IP-адреса и префиксы общедоступных IP-адресов должны иметь тег FirstPartyUsage | Убедитесь, что все общедоступные IP-адреса и префиксы общедоступных IP-адресов имеют тег FirstPartyUsage. | Аудит, отказ в доступе, отключено | 1.1.0 |
| SQL Server следует использовать конечную точку службы виртуальной сети | Эта политика проверяет любые SQL Server не настроены на использование конечной точки службы виртуальной сети. | AuditIfNotExists, отключено | 1.0.0 |
| Учетная запись хранения должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. | Аудит, отключено | 1.0.0 |
| Подсети должны быть закрытыми | Убедитесь, что подсети защищены по умолчанию, предотвращая исходящий доступ по умолчанию. Дополнительные сведения см. по адресу https://aka.ms/defaultoutboundaccessretirement. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Virtual Hubs следует защитить с помощью Azure Firewall | Разверните Azure Firewall в виртуальных центрах для защиты и детального управления исходящим трафиком интернета и входящего трафика. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Виртуальные машины должны быть подключены к утвержденной виртуальной сети | Эта политика используется для аудита любой виртуальной машины, подключенной к виртуальной сети, которая не утверждена. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Virtual сети должны быть защищены Azure защиты от атак DDoS | Защита виртуальных сетей от атак томных и протоколов с помощью защиты от атак DDoS Azure. Дополнительные сведения см. на странице https://aka.ms/ddosprotectiondocs. | Изменить, Аудит, Отключено | 1.0.1 |
| Виртуальным сетям следует использовать указанный шлюз виртуальной сети | Эта политика используется для аудита любой виртуальной сети, если маршрут по умолчанию не указывает на конкретный шлюз виртуальной сети. | AuditIfNotExists, отключено | 1.0.0 |
| шлюзы VPN должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзы используют только Azure Active Directory удостоверения для проверки подлинности. Дополнительные сведения о проверке подлинности Azure AD см. в https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Аудит, отказ в доступе, отключено | 1.0.0 |
| Web Application Firewall (WAF) следует включить для шлюза приложений | Разверните Azure Web Application Firewall (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Web Application Firewall (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Web Application Firewall (WAF) должен использовать указанный режим для шлюза приложений | Предписывает использовать режим "Обнаружение" или "Предотвращение" для всех политик Web Application Firewall для шлюза приложений. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Web Application Firewall (WAF) должен использовать указанный режим для Azure Front Door Service | Предписывает использовать режим "Обнаружение" или "Предотвращение" для всех политик Web Application Firewall для Azure Front Door Service. | Аудит, отказ в доступе, отключено | 1.0.0 |
Tags
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Добавление тегов в группы ресурсов | Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Существующие группы ресурсов можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. | modify | 1.0.0 |
| Добавление тегов к ресурсам | Добавляет указанный тег и значение при создании или обновлении любого ресурса, пропустившего этот тег. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. Не изменяет теги в группах ресурсов. | modify | 1.0.0 |
| Добавление тега в подписки | Добавляет указанный тег и значение в подписки с помощью задачи исправления. Если тег существует с другим значением, он не изменится. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Добавление или замена тегов в группах ресурсов | Добавляет или заменяет указанный тег и значение при создании или обновлении любой группы ресурсов. Существующие группы ресурсов можно исправить, активировав задачу исправления. | modify | 1.0.0 |
| Добавление или замена тегов в ресурсах | Добавляет или заменяет указанный тег и значение при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. Не изменяет теги в группах ресурсов. | modify | 1.0.0 |
| Добавление или замена тега в подписках | Добавляет указанный тег и значение в подписки или заменяет их с помощью задачи исправления. Существующие группы ресурсов можно исправить, активировав задачу исправления. Дополнительные сведения об исправлении политик см. на странице https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Добавление тега и его значения из группы ресурсов | Добавляет указанный тег и его значение из группы ресурсов при создании или обновлении любого ресурса, пропустившего этот тег. Не изменяет теги ресурсов, созданных до применения этой политики, пока эти ресурсы не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). | append | 1.0.0 |
| Добавление тега и его значения к группам ресурсов | Добавляет указанный тег и значение при создании или обновлении любой группы ресурсов, пропустившей этот тег. Не изменяет теги групп ресурсов, созданных до применения этой политики, пока эти группы ресурсов не будут изменены. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). | append | 1.0.0 |
| Добавление тега и его значения к ресурсам | Добавляет указанный тег и значение при создании или обновлении любого ресурса, пропустившего этот тег. Не изменяет теги ресурсов, созданных до применения этой политики, пока эти ресурсы не будут изменены. Не применяется к группам ресурсов. Доступны новые политики с поддержкой изменений для исправления тегов в существующих ресурсах (см. https://aka.ms/modifydoc). | append | 1.0.1 |
| Наследовать тег из группы ресурсов | Добавляет или заменяет указанный тег и значение из родительской группы ресурсов при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. | modify | 1.0.0 |
| Наследовать тег из группы ресурсов, если он отсутствует | Добавляет указанный тег и его значение из родительской группы ресурсов при создании или обновлении любого ресурса, пропустившего этот тег. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. | modify | 1.0.0 |
| Наследовать тег из подписки | Добавляет или заменяет указанный тег и значение из соответствующей подписки при создании или обновлении любого ресурса. Существующие ресурсы можно исправить, активировав задачу исправления. | modify | 1.0.0 |
| Наследовать тег из подписки при его отсутствии | Добавляет указанный тег и его значение из соответствующей подписки при создании или обновлении любого ресурса, в котором этот тег отсутствует. Существующие ресурсы можно исправить, активировав задачу исправления. Если тег существует с другим значением, он не изменится. | modify | 1.0.0 |
| Требование тега и его значения в группах ресурсов | Принудительно задает нужный тег и его значение в группах ресурсов. | deny | 1.0.0 |
| Требование тега и его значения в ресурсах | Принудительно применяет обязательный тег и его значение. Не применяется к группам ресурсов. | deny | 1.0.1 |
| Требование тега в группах ресурсов | Принудительное задание тегов в группах ресурсов. | deny | 1.0.0 |
| Требование тега в ресурсах | Принудительно применяет тег. Не применяется к группам ресурсов. | deny | 1.0.1 |
General
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Допустимые расположения | Эта политика позволяет ограничить расположения, которые ваша организация может указать при развертывании ресурсов. Используется для соблюдения географических требований. Исключает группы ресурсов, Microsoft. AzureActiveDirectory/b2cDirectory и ресурсы, использующие глобальный регион. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Разрешенные расположения для групп ресурсов | Эта политика позволяет ограничить расположения, которые ваша организация может указать при создании групп ресурсов. Используется для соблюдения географических требований. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Допустимые типы ресурсов | Эта политика позволяет указать типы ресурсов, которые не может развертывать ваша организация. Эта политика затрагивает только типы ресурсов, поддерживающие использование тегов и настройку расположения. Чтобы ограничить все ресурсы, продублируйте эту политику и измените значение режима на All (Все). | Аудит, отказ в доступе, отключено | 1.1.0 |
| Аудит соответствия расположения группы и ресурса | Аудит, в ходе которого проверяется, соответствует ли расположение ресурса расположению его группы | Аудит, отказ в доступе, отключено | 2.1.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Аудит, отключено | 1.0.1 |
| Настройка подписок для настройки предварительных версий функций | Эта политика оценивает существующие функции предварительной версии подписки. Подписки можно исправить, чтобы зарегистрировать новую предварительную версию функции. Новые подписки не будут автоматически зарегистрированы. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.1 |
| Не разрешать удаление типов ресурсов | Эта политика позволяет указать типы ресурсов, которые ваша организация может защитить от случайного удаления, блокируя вызовы удаления с помощью эффекта запрета действия. | ЗапретитьДействие, Отключено | 1.0.1 |
| Не разрешать ресурсы M365 | Блокировать создание ресурсов M365. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Не разрешать ресурсы MCPP | Блокировать создание ресурсов MCPP. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Исключение ресурсов затрат на использование | Эта политика позволяет использовать ресурсы затрат на использование. Затраты на использование включают такие вещи, как хранилище с учетом лимитного использования и Azure ресурсы, которые выставляются на основе использования. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Недопустимые типы ресурсов | Ограничьте типы ресурсов, которые могут быть развернуты в вашей среде. Ограничение типов ресурсов позволяет снизить сложность и направления атаки среды, а также помогает управлять затратами. Результаты обеспечения соответствия отображаются только для несоответствующих ресурсов. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Пользователи должны пройти проверку подлинности с помощью многофакторной проверки подлинности для создания или обновления ресурсов | Это определение политики блокирует операции создания и обновления ресурсов, когда вызывающий объект не проходит проверку подлинности через MFA. Дополнительные сведения см. на странице https://aka.ms/mfaforazure. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Пользователи должны пройти проверку подлинности с помощью многофакторной проверки подлинности для удаления ресурсов | Это определение политики блокирует операции удаления ресурсов, если вызывающий объект не проходит проверку подлинности через MFA. Дополнительные сведения см. на странице https://aka.ms/mfaforazure. | ДействиеАудита, ОтклоненноеДействие, Отключено | 1.1.0 |
Дальнейшие шаги
- См. встроенные компоненты репозитория Azure Policy GitHub.
- Просмотрите структуру определения Azure Policy.
- Изучите сведения о действии политик.