تعريفات السياسة المضمنة لـ Azure Virual Network
هذه الصفحة عبارة عن فهرس Azure Policy من تعريفات السياسة المضمنة لـ Azure Virual Network. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
الشبكة الافتراضية في Azure
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [إصدار أولي]: يجب أن يستخدم سجل حاوية نقطة تقديم خدمة شبكة ظاهرية | يقوم هذا النهج بمراجعة أي "تسجيل حاوية" لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | المراجعة، معطلة | 1.0.0-المعاينة |
| يجب تطبيق نهج IPsec/IKE مخصص على جميع اتصالات بوابة الشبكة الظاهرية Azure | يضمن هذا النهج استخدام كافة اتصالات بوابة الشبكة الافتراضية في Azure نهج مخصص لأمان بروتوكول الإنترنت (Ipsec) / مفتاح إنترنت Exchange(IKE). الخوارزميات المدعومة ونقاط القوة الرئيسية - https://aka.ms/AA62kb0 | المراجعة، معطلة | 1.0.0 |
| يجب أن تكون جميع موارد سجل التدفق في حالة التمكين | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم تطبيقات App Service نقطة نهاية خدمة شبكة افتراضية | استخدم نقاط نهاية خدمة الشبكة الظاهرية لتقييد الوصول إلى تطبيقك من الشبكات الفرعية المحددة من شبكة Azure الظاهرية. لمعرفة المزيد حول نقاط نهاية خدمة لخدمة التطبيق، تفضل بزيارة https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق تكوين سجلات التدفق لكل شبكة ظاهرية | تدقيق الشبكة الظاهرية للتحقق مما إذا تم تكوين سجلات التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول حركة مرور IP المتدفقة عبر الشبكة الظاهرية. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب نشر Azure Application Gateway باستخدام Azure WAF | يتطلب توزيع موارد Azure Application Gateway باستخدام Azure WAF. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يتيح نهج جدار حماية Azure فحص TLS ضمن قواعد التطبيق | يُوصى بتمكين فحص TLS لجميع قواعد التطبيق للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يقوم Azure Firewall Premium بتكوين شهادة وسيطة صالحة لتمكين فحص TLS | تكوين شهادة وسيطة صالحة وتمكين فحص Azure Firewall Premium TLS للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ألا تستخدم بوابات Azure VPN SKU "الأساسية" | يضمن هذا النهج عدم استخدام بوابات Azure VPN وحدة حفظ المخزون «الأساسية» | المراجعة، معطلة | 1.0.0 |
| يجب تمكين فحص نص طلب Azure Web Application Firewall على Azure Application Gateway | تأكد من تمكين فحص نص الطلب لجدران حماية تطبيق الويب المقترنة ب Azure Application Gateways. يسمح هذا ل WAF بفحص الخصائص داخل نص HTTP التي قد لا يتم تقييمها في عناوين HTTP أو ملفات تعريف الارتباط أو URI. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فحص النص الأساسي ل Azure Web Application Firewall على Azure Front Door | تأكد من تمكين فحص نص الطلب لجدران حماية تطبيق الويب المقترنة ب Azure Front Doors. يسمح هذا ل WAF بفحص الخصائص داخل نص HTTP التي قد لا يتم تقييمها في عناوين HTTP أو ملفات تعريف الارتباط أو URI. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تمكين Bot Protection ل Azure Application Gateway WAF | يضمن هذا النهج تمكين حماية الروبوت في جميع نهج Azure Application Gateway Web Application Firewall (WAF) | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Bot Protection ل Azure Front Door WAF | يضمن هذا النهج تمكين حماية الروبوت في جميع نهج Azure Front Door Web Application Firewall (WAF) | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تكون قائمة التجاوز لنظام الكشف عن التسلل والوقاية (IDPS) فارغة في Firewall Policy Premium | تسمح لك قائمة تجاوز نظام الكشف عن التسلل والوقاية (IDPS) بعدم تصفية نسبة استخدام الشبكة إلى أي من عناوين IP والنطاقات والشبكات الفرعية المحددة في قائمة التجاوز. ومع ذلك، يتم إعادة الاتصال بتمكين IDPS لجميع تدفقات نسبة استخدام الشبكة لتحديد التهديدات المعروفة بشكل أفضل. لمعرفة المزيد حول توقيعات نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps-signature | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين الإعدادات التشخيصية لمجموعات أمان شبكة Azure لتسجيل مساحة عمل Analytics | وزّع إعدادات التشخيص إلى مجموعات أمان شبكة Azure لدفق سجلات الموارد إلى مساحة عمل Log Analytics. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات أمان الشبكة لتمكين تحليلات نسبة استخدام الشبكة | يمكن تمكين تحليلات الحركة لجميع مجموعات أمان الشبكة المستضافة في منطقة معينة بجانب الإعدادات المقدمة أثناء إنشاء النهج. إذا كانت تحليلات الحركة ممكنة بالفعل، فإنه من ثمَّ لا يُعدل النهج إعداداته. يجوز تمكين سجلات التدفق أيضًا لمجموعات أمان الشبكة التي لا تملكها. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.2.0 |
| تكوين مجموعات أمان الشبكة لاستخدام مساحة عمل معينة وحساب تخزين ونهج استبقاء سجل التدفق لتحليلات نسبة استخدام الشبكة | إذا كان تحليلات الحركة مفعلة، فإنه من ثمَّ لا يسمح هذا النهج بتعديل إعداداته الحالية بالتعديلات المقدمة في أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.2.0 |
| تكوين الشبكة الظاهرية لتمكين سجل التدفق وتحليلات نسبة استخدام الشبكة | يمكن تمكين تحليلات نسبة استخدام الشبكة وسجلات التدفق لجميع الشبكات الظاهرية المستضافة في منطقة معينة مع الإعدادات المقدمة أثناء إنشاء النهج. لا يقوم هذا النهج بالكتابة فوق الإعداد الحالي للشبكات الظاهرية التي تم تمكين هذه الميزة بالفعل. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.1.1 |
| تكوين الشبكات الظاهرية لفرض مساحة العمل وحساب التخزين والفاصل الزمني للاحتفاظ بسجلات التدفق وتحليلات نسبة استخدام الشبكة | إذا تم تمكين تحليلات نسبة استخدام الشبكة بالفعل لشبكة ظاهرية، فسيستبدل هذا النهج إعداداته الحالية بالإعدادات المتوفرة أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.1.2 |
| يجب أن يستخدم Cosmos DB نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة قاعدة بيانات COSMOS DB التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| نشر مورد سجل تدفق مع مجموعة أمان الشبكة المستهدفة | تهيئة سجل التدفق لمجموعة أمان شبكة الاتصال المحددة. وسوف تسمح بتوفير سجل معلومات حول تدفق حركة بروتوكول الإنترنت من خلال مجموعة أمان الشبكة. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | deployIfNotExists | 1.1.0 |
| نشر مورد سجل التدفق مع الشبكة الظاهرية الهدف | تكوين سجل التدفق لشبكة ظاهرية معينة. سيسمح بتسجيل معلومات حول حركة مرور IP المتدفقة عبر شبكة ظاهرية. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | DeployIfNotExists، معطل | 1.1.1 |
| توزيع مراقب الشبكة عند إنشاء الشبكات الظاهرية | ينشئ هذا النهج مورد مراقب شبكة الاتصال في المناطق التي تظهر بها شبكات افتراضية. تحتاج إلى التأكد من وجود مجموعة موارد تسمى networkWatcherRG، والتي سيتم استخدامها لنشر حالات مراقب الشبكة. | DeployIfNotExists | 1.0.0 |
| تمكين قاعدة حد المعدل للحماية من هجمات DDoS على Azure Front Door WAF | تتحكم قاعدة حد المعدل لجدار حماية تطبيق الويب في Azure لـ Azure Front Door في عدد الطلبات المسموح بإرساله من عنوان IP لعميل معين إلى التطبيق خلال مدة حد المعدل. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Event Hub نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي Event Hub لم تتم تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يقوم Firewall Policy Premium بتمكين جميع قواعد توقيع IDPS لمراقبة جميع تدفقات نسبة استخدام الشبكة الواردة والصادرة | يتم إعادة الالتزام بتمكين جميع قواعد توقيع نظام الكشف عن التسلل والوقاية منه (IDPS) لتحديد التهديدات المعروفة في تدفقات حركة المرور بشكل أفضل. لمعرفة المزيد حول توقيعات نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps-signature | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يقوم Firewall Policy Premium بتمكين نظام الكشف عن التسلل والوقاية منه (IDPS) | يتيح لك تمكين نظام الكشف عن التسلل والوقاية منه (IDPS) مراقبة شبكتك للأنشطة الضارة وتسجيل معلومات حول هذا النشاط والإبلاغ عنه ومحاولة حظره اختياريا. لمعرفة المزيد حول نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.1.0 |
| لا يجب تهيئة الشبكات الفرعية للبوابة مع مجموعة أمان شبكة الاتصال | يرفض هذا النهج إذا جرت تهيئة شبكة فرعية للبوابة مع مجموعة أمان شبكة الاتصال. سيؤدي تعيين مجموعة أمان شبكة الاتصال مع شبكة فرعية للبوابة إلى إيقاف التشغيل. | رفض | 1.0.0 |
| يجب أن تستخدم خدمة Key Vault نقطة نهاية خدمة شبكة ظاهرية | يساعد هذا النهج على مراجعة جميع خدمات Key Vault التي تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| ترحيل WAF من تكوين WAF إلى نهج WAF على بوابة التطبيق | إذا كان لديك تكوين WAF بدلا من نهج WAF، فقد تحتاج إلى الانتقال إلى نهج WAF الجديد. من الآن فصاعداً، ستدعم نهج جدار الحماية إعدادات نهج WAF، ومجموعات القواعد المُدارة، والاستثناءات، ومجموعات القواعد المعطلة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل واجهات الشبكة إعادة توجيه IP | يرفض هذا النهج واجهات شبكة الاتصال التي مكنت إعادة توجيه بروتوكول الإنترنت. يؤدي إعداد إعادة توجيه بروتوكول الإنترنت إلى تعطيل فحص Azure للمصدر وواجهة واجهة شبكة الاتصال. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | رفض | 1.0.0 |
| يجب ألا تحتوي واجهات الشبكة على عناوين IP عامة | يرفض هذا النهج واجهات شبكة الاتصال التي تم تهيئتها باستخدام بروتوكول إنترنت عام تسمح عناوين بروتوكول الإنترنت العامة لموارد الإنترنت بالاتصال بالموارد الواردة إلى Azure، وموارد Azure للاتصال بالإنترنت. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | رفض | 1.0.0 |
| يجب تمكين تحليلات نسبة استخدام الشبكة لسجلات تدفق Network Watcher | تحلل تحليلات نسبة استخدام الشبكة سجلات التدفق لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. ويمكن استخدامه لتصور نشاط الشبكة عبر اشتراكات Azure وتحديد النقاط الساخنة والتهديدات الأمنية وفهم أنماط تدفق الحركة وتحديد التهيئات الخاطئة للشبكة وغيرها. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي أن يستخدم خادم SQL Server نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة خوادم SQL Server التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| تستخدم حسابات التخزين نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي حساب تخزين لم تُجرَ تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| يجب أن يقوم الاشتراك بتكوين Azure Firewall Premium لتوفير طبقة إضافية من الحماية | يوفر Azure Firewall Premium حماية متقدمة من التهديدات تلبي احتياجات البيئات الحساسة للغاية والمنظمة. انشر Azure Firewall Premium على اشتراكك وتأكد من حماية جميع نسبة استخدام الشبكة للخدمة بواسطة Azure Firewall Premium. لمعرفة المزيد حول Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-premium | AuditIfNotExists، معطل | 1.0.0 |
| يجب توصيل الأجهزة الظاهرية بشبكة ظاهرية معتمدة | يقوم هذا النهج بمراجعة أي جهاز افتراضي متصل بشبكة افتراضية غير معتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب حماية الشبكات الظاهرية بواسطة Azure DDoS Protection | حماية الشبكات الظاهرية من هجمات الحجم والبروتوكول باستخدام Azure DDoS Protection. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/ddosprotectiondocs. | تعديل، تدقيق، تعطيل | 1.0.1 |
| يجب أن تستخدم الشبكات الافتراضية بوابة شبكة اتصال افتراضية محددة | يقوم هذا النهج بمراجعة أي شبكة اتصال افتراضية إذا لم يشر المسار الافتراضي إلى بوابة الشبكة الافتراضية المحددة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن يتيح جدار حماية تطبيق الويب (WAF) جميع قواعد جدار الحماية لبوابة التطبيق | يؤدي تمكين جميع قواعد جدار حماية تطبيقات الويب (WAF) إلى تعزيز أمان التطبيق الخاص بك وحماية تطبيقات الويب الخاصة بك من الثغرات الأمنية الشائعة. لمعرفة المزيد حول جدار حماية تطبيق الويب (WAF) باستخدام بوابة التطبيق، تفضل بزيارة https://aka.ms/waf-ag | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق | تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service | تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service. | التدقيق، الرفض، التعطيل | 1.0.0 |
علامات
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة علامة إلى مجموعات الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد لا تحتوي على هذه العلامة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| إضافة علامة إلى الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. لا يتم تعديل العلامات على مجموعات الموارد. | تعديل | 1.0.0 |
| إضافة علامة إلى الاشتراكات | إضافة العلامة والقيمة المحددتين للاشتراكات عبر مهمة الإصلاح. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | تعديل | 1.0.0 |
| إضافة أو استبدال علامة في مجموعات الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. | تعديل | 1.0.0 |
| إضافة أو استبدال علامة على الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. لا يتم تعديل العلامات على مجموعات الموارد. | تعديل | 1.0.0 |
| إضافة علامة أو استبدالها في الاشتراكات | إضافة أو استبدال العلامة والقيمة المحددتين للاشتراكات عبر مهمة المعالجة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | تعديل | 1.0.0 |
| إرفاق علامة وقيمتها من مجموعة الموارد | لإرفاق العلامة المحددة بقيمتها من مجموعة الموارد عند إنشاء أو تحديث أي مورد يفتقد هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.0 |
| إرفاق علامة وقيمتها بمجموعات الموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد تفتقد إلى هذه العلامة. لا يتم تعديل علامات مجموعات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير مجموعات الموارد هذه. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.0 |
| إرفاق علامة وقيمتها بالموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد يفتقد إلى هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. لا ينطبق على مجموعات الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.1 |
| استيراد علامة من مجموعة الموارد | إضافة أو استبدال العلامة والقيمة المحددتين من مجموعة الموارد الرئيسية عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | تعديل | 1.0.0 |
| استيراد علامة من مجموعة الموارد في حالة فقدها | إضافة العلامة المحددة بقيمتها من مجموعة الموارد الرئيسية عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| استيراد علامة من الاشتراك | استيراد أو استبدال العلامة والقيمة المحددتين من الاشتراك المتضمن عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | تعديل | 1.0.0 |
| استيراد علامة من الاشتراك في حالة فقدها | إضافة العلامة المحددة بقيمتها من الاشتراك المتضمن عند إنشاء أو تحديث أي مورد لا يحتوي على هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| طلب علامة وقيمتها في مجموعات الموارد | فرض علامة مطلوبة وقيمتها على مجموعات الموارد. | رفض | 1.0.0 |
| طلب علامة وقيمتها في الموارد | فرض العلامة المطلوبة وقيمتها. لا ينطبق على مجموعات الموارد. | رفض | 1.0.1 |
| طلب علامة في مجموعات الموارد | فرض وجود علامة على مجموعات الموارد. | رفض | 1.0.0 |
| طلب علامة على الموارد | فرض وجود علامة. لا ينطبق على مجموعات الموارد. | رفض | 1.0.1 |
عام
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| المواقع المسموح بها | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تحديدها عند توزيع الموارد. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. باستثناء مجموعات الموارد وMicrosoft.AzureActiveDirectory/b2cDirectory والموارد التي تستخدم المنطقة "العمومية". | رفض | 1.0.0 |
| المواقع المسموح بها لمجموعات الموارد | تمكّنك هذه السياسة من تقييد المواقع التي يمكن لمؤسستك إنشاء مجموعات موارد فيها. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | رفض | 1.0.0 |
| أنواع الموارد المسموح بها | يمكّنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك نشرها. لن تتأثر سوى أنواع الموارد التي تدعم "العلامات" و"الموقع" بهذه السياسة. لتقييد جميع الموارد، يرجى تكرار هذه السياسة وتغيير الوضع إلى "All". | رفض | 1.0.0 |
| يطابق موقع مورد التدقيق موقع مجموعة الموارد | تحقق من مطابقة موقع المورد لموقع مجموعة الموارد الخاصة به | تحقق | 2.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| تكوين الاشتراكات لإعداد ميزات المعاينة | يقيم هذا النهج ميزات معاينة الاشتراك الموجودة. يمكن معالجة الاشتراكات للتسجيل في ميزة معاينة جديدة. لن يتم تسجيل الاشتراكات الجديدة تلقائيا. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.1 |
| عدم السماح بحذف أنواع الموارد | يمكنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك حمايتها من الحذف العرضي عن طريق حظر استدعاءات الحذف باستخدام تأثير إجراء الرفض. | DenyAction, Disabled | 1.0.1 |
| عدم السماح بموارد M365 | حظر إنشاء موارد M365. | التدقيق، الرفض، التعطيل | 1.0.0 |
| عدم السماح بموارد MCPP | حظر إنشاء موارد MCPP. | التدقيق، الرفض، التعطيل | 1.0.0 |
| استبعاد موارد تكاليف الاستخدام | يمكنك هذا النهج من exlcude Usage Costs Resources. تتضمن تكاليف الاستخدام أشياء مثل التخزين المحدود وموارد Azure التي تتم فوترتها بناء على الاستخدام. | التدقيق، الرفض، التعطيل | 1.0.0 |
| أنواع الموارد غير المسموح بها | تقييد أنواع الموارد التي يمكن نشرها في بيئتك. يمكن أن يؤدي الحد من أنواع الموارد إلى تقليل التعقيد والهجوم على سطح بيئتك بينما يساعد أيضًا في إدارة التكاليف. لا يتم عرض سوى نتائج الامتثال الخاصة بالموارد غير المتوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.