Skupina pro správu a organizace předplatnéhoManagement group and subscription organization

Diagram zobrazující hierarchii skupin pro správu

Obrázek 1: hierarchie skupiny pro správu.Figure 1: Management group hierarchy.

Definice hierarchie skupiny pro správuDefine a management group hierarchy

Struktury skupin pro správu v rámci tenanta Azure Active Directory (Azure AD) podporují mapování organizace a je nutné je pečlivě zvážit, když organizace plánuje přijetí Azure ve velkém měřítku.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale.

Faktory návrhu:Design considerations:

  • Skupiny pro správu lze použít k agregaci přiřazení zásad a iniciativ prostřednictvím Azure Policy.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.
  • Strom skupiny pro správu může podporovat až šest úrovní hloubky.A management group tree can support up to six levels of depth. Toto omezení nezahrnuje kořenovou úroveň nebo úroveň předplatného tenanta.This limit doesn't include the tenant root level or the subscription level.
  • Libovolný objekt zabezpečení (uživatel, instanční objekt) v rámci tenanta Azure AD může vytvořit nové skupiny pro správu, jako je řízení přístupu na základě role Azure (RBAC) pro operace skupiny pro správu, není ve výchozím nastavení povolené.Any principal (user, service principal) within an Azure AD tenant can create new management groups as Azure role-based access control (Azure RBAC) authorization for management group operations is not enabled by default.
  • Všechna nová předplatná se ve výchozím nastavení umístí do kořenové skupiny pro správu.All new subscription will be placed under the root management group by default.

Doporučení pro návrh:Design recommendations:

  • V ideálním případě udržujte hierarchii skupin pro správu dostatečně plochou, a to maximálně o tři až čtyři úrovně.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. Toto omezení snižuje nároky na správu a složitost.This restriction reduces management overhead and complexity.
  • Vyhněte se duplikování struktury organizace do hluboko vnořené hierarchie skupin pro správu.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. Skupiny pro správu by se měly používat pro přiřazování zásad versus pro účely fakturace.Management groups should be used for policy assignment versus billing purposes. Tento přístup vyžaduje použití skupin pro správu k jejich zamýšlenému účelu v architektuře na podnikové úrovni, která poskytuje zásady Azure pro úlohy, které vyžadují stejný typ zabezpečení a dodržování předpisů v rámci stejné úrovně skupiny pro správu.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.
  • V rámci skupiny pro správu na úrovni root Vytvořte skupiny pro správu, které budou představovat typy zatížení (Archetype), které budete hostovat a které budou na základě jejich zabezpečení, dodržování předpisů, připojení a funkcí potřeba.Create management groups under your root-level management group to represent the types of workloads (archetype) that you'll host and ones based on their security, compliance, connectivity, and feature needs. Tato struktura seskupení vám umožní použít sadu zásad Azure na úrovni skupiny pro správu pro všechny úlohy vyžadující stejná nastavení zabezpečení, dodržování předpisů, připojení a funkcí.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.
  • Pomocí značek prostředků, které se dají vynutit nebo připojit prostřednictvím Azure Policy, můžete horizontálně procházet hierarchii skupiny pro správu a dotazovat se na ni.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. Potom můžete seskupit prostředky pro potřeby vyhledávání, aniž byste museli použít složitou hierarchii skupiny pro správu.Then you can group resources for search needs without having to use a complex management group hierarchy.
  • Vytvořte skupinu pro správu sandboxu nejvyšší úrovně, která uživatelům umožní okamžitě experimentovat s Azure.Create a top-level sandbox management group to allow users to immediately experiment with Azure. Uživatelé pak můžou experimentovat s prostředky, které v produkčním prostředí ještě nemusí být povolené.Users can then experiment with resources that might not yet be allowed in production environments. Sandbox poskytuje izolaci od vývojových, testovacích a produkčních prostředí.The sandbox provides isolation from your development, test, and production environments.
  • Pomocí vyhrazeného hlavního názvu služby (SPN) proveďte operace správy skupiny pro správu, operace správy předplatného a přiřazení rolí.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. Použití hlavního názvu služby (SPN) snižuje počet uživatelů, kteří mají zvýšená oprávnění, a řídí se pokyny pro minimální oprávnění.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.
  • Přiřaďte User Access Administrator roli Azure v oboru kořenové skupiny pro správu ( / ), aby se hlavní název služby (SPN) udělil pouze zmíněnému přístupu na kořenové úrovni.Assign the User Access Administrator Azure role at the root management group scope (/) to grant the SPN just mentioned access at the root level. Po udělení oprávnění k hlavnímu názvu služby (SPN) je User Access Administrator možné roli bezpečně odebrat.After the SPN is granted permissions, the User Access Administrator role can be safely removed. Tímto způsobem je součástí role pouze hlavní název služby (SPN) User Access Administrator .In this way, only the SPN is part of the User Access Administrator role.
  • Přiřaďte Contributor oprávnění k hlavnímu názvu služby (SPN) dříve zmíněnému v oboru kořenové skupiny pro správu ( / ), který umožňuje operace na úrovni tenanta.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. Tato úroveň oprávnění zajišťuje, že se hlavní název služby (SPN) dá použít k nasazení a správě prostředků u všech předplatných ve vaší organizaci.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.
  • Vytvořte Platform skupinu pro správu pod kořenovou skupinou pro správu, která bude podporovat běžné zásady platforem a přiřazování rolí Azure.Create a Platform management group under the root management group to support common platform policy and Azure role assignment. Tato struktura seskupení zajišťuje, že se v předplatných používaných pro základy Azure můžou použít různé zásady.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. Dále zajišťuje, aby se fakturace za běžné prostředky centralizovala v rámci jedné sady základních předplatných.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.
  • Omezte počet Azure Policy přiřazení provedených v oboru kořenové skupiny pro správu ( / ).Limit the number of Azure Policy assignments made at the root management group scope (/). Toto omezení minimalizuje ladění zděděných zásad ve skupinách pro správu nižší úrovně.This limitation minimizes debugging inherited policies in lower-level management groups.
  • K prosazování požadavků na dodržování předpisů buď v rámci skupiny pro správu nebo oboru předplatného, použijte zásady dostupné pro zóny pro cílové podnikové úrovni.Use the policies available for enterprise-scale landing zones to enforce compliance requirements either at management group or subscription scope. Další informace o požadavcích zásad správného řízení, které se dají řešit, najdete v tématu pokyny v části zásad správného řízení řízené zásadami .Refer to guidance in the policy-driven governance section to learn more about the governance requirements that can be addressed.
  • Ujistěte se, že pouze oprávnění uživatelé mohou pracovat se skupinami pro správu v tenantovi tím, že povolíte autorizaci Azure RBAC v Nastavení hierarchie skupiny pro správu (ve výchozím nastavení mají všichni uživatelé autorizaci k vytvoření vlastního skupiny pro správu pod kořenovou skupinou pro správu).Ensure that only privileged users can operate management groups in the tenant by enabling Azure RBAC authorization in the management group hierarchy settings (by default, all users are authorized to create their own Management Groups under the root management group).
  • Nakonfigurujte výchozí vyhrazenou skupinu pro správu pro nové odběry, aby se zajistilo, že se do kořenové skupiny pro správu nevloží žádná předplatná.Configure a default, dedicated management group for new subscriptions to ensure no subscriptions are placed under the root management group. To je důležité hlavně v případě, že jsou k dispozici uživatelé s nárokem na výhody a předplatné služby Visual Studio.This is especially important if there are users eligible for MSDN or Visual Studio benefits and subscriptions. Vhodným kandidátem pro takovou skupinu pro správu je Sandbox skupina pro správu.A good candidate for such management group is a Sandbox management group.

Organizace předplatného a zásady správného řízeníSubscription organization and governance

Předplatná jsou jednotky správy, fakturace a škálování v Azure.Subscriptions are a unit of management, billing, and scale within Azure. Při návrhu rozsáhlého přijetí Azure hrají důležitou roli.They play a critical role when you're designing for large-scale Azure adoption. Tato část vám pomůže zachytávat požadavky na předplatné a navrhovat cílová předplatná na základě kritických faktorů.This section helps you capture subscription requirements and design target subscriptions based on critical factors. Těmito faktory jsou typ prostředí, model vlastnictví a zásad správného řízení, organizační struktura a portfolia aplikací.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Faktory návrhu:Design considerations:

  • Předplatná slouží jako hranice pro přiřazování zásad Azure.Subscriptions serve as boundaries for assigning Azure policies. Například zabezpečené úlohy, jako jsou úlohy PCI (Payment Card Industry), obvykle vyžadují k dodržení předpisů další zásady.For example, secure workloads such as Payment Card Industry (PCI) workloads typically require additional policies to achieve compliance. K seskupení úloh, které vyžadují dodržování předpisů PCI, nemusíte používat skupinu pro správu, stejné izolace můžete dosáhnout pomocí předplatného.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. Tímto způsobem nemáte k dispozici příliš mnoho skupin pro správu s malým počtem předplatných.This way, you don't have too many management groups with a small number of subscriptions.
  • Předplatná slouží jako jednotka škálování, aby se úlohy komponent mohly škálovat v rámci limitů předplatnéhoplatformy.Subscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. Na schůzkách týkajících se návrhu úloh nezapomeňte zvážit omezení prostředků předplatného.Make sure to consider subscription resource limits during your workload design sessions.
  • Předplatná poskytují hranici správy pro řízení a izolaci a jasně vymezí jednotlivé obavy.Subscriptions provide a management boundary for governance and isolation, which creates a clear separation of concerns.
  • K dispozici je manuální proces, plánované budoucí automatizace, které mohou sloužit k omezení tenanta Azure AD tak, aby používal pouze odběry smlouva Enterprise registraci.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. Tento proces zabraňuje vytváření předplatných Microsoft Developer Network v oboru kořenové skupiny pro správu.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

Doporučení pro návrh:Design recommendations:

  • Považovat předplatná jako democratizedou správu, která se rovná obchodním potřebám a prioritám.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.
  • Informujte vlastníky předplatných o jejich rolích a zodpovědnostech:Make subscription owners aware of their roles and responsibilities:
    • Jednou za čtvrt roku nebo dvakrát do roka proveďte kontrolu přístupu v Azure AD Privileged Identity Management, abyste se ujistili, že se oprávnění při přesunech uživatelů v organizaci zákazníka nešíří.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • Převezměte plné vlastnictví útrat z rozpočtu a využití prostředků.Take full ownership of budget spending and resource utilization.
    • Zajistěte dodržování zásad a v případě potřeby proveďte nápravu.Ensure policy compliance and remediate when necessary.
  • Při identifikaci požadavků na nová předplatná použijte následující principy:Use the following principles when identifying requirements for new subscriptions:
    • Omezení škálování: Předplatná slouží jako jednotka škálování pro úlohy komponent ke škálování v rámci omezení předplatného platformy.Scale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. Například velké specializované úlohy, jako jsou například vysoce výkonný computing, IoT a SAP, se více hodí pro použití oddělených předplatných, aby se zabránilo omezením (například omezení 50 integrací Azure Data Factory).For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • Hranice správy: Předplatná poskytují hranici správy pro řízení a izolaci, která umožňuje jasné oddělení obav.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. Například různá prostředí, jako je vývoj, testování a produkce, jsou často izolována od perspektivy správy.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • Hranice zásady: Předplatná slouží jako hranice pro přiřazování zásad Azure.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. Například zabezpečené úlohy, jako je třeba PCI, obvykle vyžadují k dodržení předpisů další zásady.For example, secure workloads such as PCI typically require additional policies to achieve compliance. Pokud se používá samostatné předplatné, nemusí se tato dodatečná režie považovat za holistickou.This additional overhead doesn't need to be considered holistically if a separate subscription is used. Vývojová prostředí pak mohou mít ve srovnání s produkčními prostředími uvolněnější požadavky na zásady.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • Topologie cílové sítě: Virtuální sítě se nedají sdílet mezi předplatnými, ale můžou se připojovat k různým technologiím, jako je třeba partnerský vztah virtuálních sítí nebo Azure ExpressRoute.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. Při rozhodování o potřebě nového předplatného zvažte, které úlohy spolu navzájem musí komunikovat.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • Seskupte předplatná ve skupinách pro správu odpovídajících struktuře skupin pro správu a požadavkům na zásady ve velkém měřítku.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. Seskupení zajišťuje, že odběry se stejnou sadou zásad a přiřazení rolí Azure je mohou dědit ze skupiny pro správu, čímž se vyhnete duplicitním přiřazením.Grouping ensures that subscriptions with the same set of policies and Azure role assignments can inherit them from a management group, which avoids duplicate assignments.
  • Vytvořte vyhrazené předplatné pro správu ve Platform skupině pro správu, které bude podporovat funkce globálního řízení, například Azure Monitor Log Analytics pracovní prostory a sady Azure Automation Runbook.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.
  • V Platform případě potřeby vytvořte ve skupině pro správu vyhrazené předplatné identity pro hostování řadičů domény služby Windows Server Active Directory.Establish a dedicated identity subscription in the Platform management group to host Windows Server Active Directory domain controllers, when necessary.
  • Vytvořte ve Platform skupině pro správu vyhrazené předplatné pro připojení, které bude hostovat službu Azure Virtual WAN hub, privátního okruhu domény (DNS), okruh ExpressRoute a další síťové prostředky.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. Vyhrazené předplatné zajistí, aby se všechny základní síťové prostředky fakturovaly společně a izolovaně od ostatních úloh.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.
  • Vyhněte se pevnému modelu předplatného a místo toho použijte sadu flexibilních kritérií pro seskupení předplatných napříč organizací.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. Tato flexibilita zajišťuje, abyste při změně struktury organizace a úloh mohli vytvořit novou skupinu předplatných a nepoužívali pevnou sadu stávajících předplatných.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. Jedna velikost není vhodná pro všechna předplatná.One size doesn't fit all for subscriptions. Co funguje pro jednu obchodní jednotku, nemusí fungovat pro jinou.What works for one business unit might not work for another. Některé aplikace můžou koexistovat v rámci stejného předplatného cílové zóny, zatímco jiné můžou vyžadovat vlastní předplatné.Some applications might coexist within the same landing zone subscription while others might require their own subscription.

Konfigurace kvóty a kapacity předplatnéhoConfigure subscription quota and capacity

Každá oblast Azure obsahuje omezený počet prostředků.Each Azure region contains a finite number of resources. Když zvažujete přijetí Azure na podnikové úrovni, které zahrnuje velké množství prostředků, zajistěte, aby byla k dispozici dostatečná kapacita a dostupné SKU a aby mohla být pochopena a sledována dosažená kapacita.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and the attained capacity can be understood and monitored.

Faktory návrhu:Design considerations:

  • Pro každou službu, kterou vaše úlohy vyžadují, zvažte omezení a kvóty v rámci platformy Azure.Consider limits and quotas within the Azure platform for each service that your workloads require.
  • Vezměte v úvahu dostupnost požadovaných SKU v rámci vybraných oblastí Azure.Consider the availability of required SKUs within chosen Azure regions. Nové funkce mohou být například dostupné pouze v určitých oblastech.For example, new features might be available only in certain regions. Dostupnost určitých SKU pro dané prostředky, jako jsou virtuální počítače, se může v jednotlivých oblastech lišit.The availability of certain SKUs for given resources such as VMs might be different from one region to another.
  • Vezměte v úvahu, že kvóty předplatného nezaručují kapacitu a jsou aplikovány na jednotlivé oblasti.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

Doporučení pro návrh:Design recommendations:

  • Použijte předplatné jako jednotky škálování a podle potřeby Naplánujte prostředky a odběry.Use subscriptions as scale units, and scale out resources and subscriptions as required. Úloha pak může podle potřeby využívat požadované prostředky k horizontálnímu navýšení kapacity, a to bez využití limitů předplatného na platformě Azure.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.
  • Rezervované instance použijte k určení priorit rezervované kapacity v požadovaných oblastech.Use reserved instances to prioritize reserved capacity in required regions. Úloha potom bude mít požadovanou kapacitu i v případě, že pro tento prostředek bude v dané oblasti existovat velká poptávka.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.
  • Vytvořte řídicí panel s vlastními zobrazeními pro sledování úrovní využité kapacity.Establish a dashboard with custom views to monitor used capacity levels. Nastavte výstrahy pro případ, že využití kapacity dosáhne kritických úrovní (například 90% využití CPU).Set up alerts if capacity utilization is reaching critical levels (for example, 90 percent CPU utilization).
  • Žádosti o podporu pro zvýšení kvóty (například celkový počet dostupných jader virtuálních počítačů v rámci předplatného) vytvořte jako součást zřízení předplatného.Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). Pomocí tohoto přístupu zajistíte, že limity kvót budou nastaveny dříve, než začnou úlohy vyžadovat překročení výchozích limitů.This approach ensures your quota limits are set before your workloads require going over the default limits.
  • Ujistěte se, že jsou ve vybraných oblastech nasazení dostupné požadované služby a funkce.Ensure required services and features are available within the chosen deployment regions.

Vytvoření správy nákladůEstablish cost management

Transparentnost nákladů v rámci technického majetku je důležitou výzvou správy, které čelí každá velká organizace.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. V této části se seznámíte s klíčovými aspekty souvisejícími se způsobem dosažení transparentnosti nákladů ve velkých prostředích Azure.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

Faktory návrhu:Design considerations:

  • Potenciální nutnost pro modely vrácení peněz, kde se týkají sdílené prostředky platformy jako služby (PaaS), jako je například Azure App Service Environment a služba Azure Kubernetes, která může být potřeba sdílet, aby dosáhla vyšší hustoty.Potential need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.
  • Abyste optimalizovali náklady, použijte pro neprodukční úlohy plán vypnutí.Use a shutdown schedule for nonproduction workloads to optimize costs.
  • Použijte Azure Advisor a zkontrolujte doporučení k optimalizaci nákladů.Use Azure Advisor to check cost optimization recommendations.

Doporučení pro návrh:Design recommendations:

  • Pro agregaci nákladů použijte Azure Cost Management + fakturace.Use Azure Cost Management + Billing for cost aggregation. Umožněte přístup vlastníkům aplikací.Make it available to application owners.
  • Pro kategorizaci nákladů a seskupení prostředků použijte značky prostředků Azure.Use Azure resource tags for cost categorization and resource grouping. Pomocí značek můžete nastavit mechanismus vrácení peněz u úloh, které sdílejí předplatné, nebo u určité úlohy, která zahrnuje několik předplatných.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.

Zásady správného řízení založené na zásadáchPolicy-driven Governance

Zásady Azure na úrovni podniku se dají použít k prosazování následujících požadavků zásad správného řízení.Enterprise-scale Azure policies can be used to enforce following governance requirements.

  • Prevence veřejných služeb založených na protokolu IPPrevent Public IP-based services

    Většina služeb Azure typu platforma jako služba (PaaS) se vytváří s přiřazenou veřejnou IP adresou.Most of the Azure Platform-as-a-service (PaaS) services are created with a public IP address assigned to them. Tato možnost je vhodná pro vývojáře, kteří chtějí rychle začít s těmito službami.This option is good for developers who want to quickly get started with these services. Veřejný koncový bod zrychluje výukovou křivku a je ideální při vývoji pilotních a vysoce škálovatelných implementací koncepce testování konceptu.Public endpoint accelerates learning curve and is ideal when developing pilots and small-scale Proof Of Concept (PoC) implementations.

    Pokud se ale tyto pilotní nebo PoCs přechodem na podnikové aplikace připravené pro produkční prostředí, jejich používání veřejných IP adres je někdy přehlédnutíné.However, when these pilots/PoCs make transition to production-ready enterprise applications, their use of public IP addresses is sometimes overlooked.

    Produkční úlohy, které používají veřejné IP adresy bez správných bezpečnostních opatření, můžou zvýšit bezpečnostní rizika.Production workloads using public IPs without proper security measures in place can increase security risks. Škodlivé aktéry můžou potenciálně použít veřejnou IP adresu jako bránu pro spuštění útoku.Malicious actors can potentially use public IP as a gateway to launch an attack. Řada zásad dodržování předpisů v podniku nepovoluje použití veřejné IP adresy jenom k tomu, aby nedocházelo k expozici těchto bezpečnostních rizik.Many enterprise compliance policies do not allow use of public IP just to avoid exposure to such security risks.

    K dispozici jsou vlastní zásady pro odepření vytváření veřejné IP adresy, které brání vytvoření veřejné IP adresy v oboru, na který cílí zásady.There's a custom policy on denying creation of public IP address, which prevents public IP getting created in a scope targeted by policy. Podniky můžou pomocí této zásady snadno zabránit tomu, aby se Virtual Machines (virtuální počítače) vytvořily pomocí veřejné IP adresy.Enterprises can easily prevent Virtual Machines (VMs) getting created with public IP using this policy.

    Podobně je k dispozici vlastní iniciativa/PolicySet, která organizacím pomáhá zabránit tomu, aby se služby Azure vytvořily pomocí veřejné IP adresy na prvním místě.Similarly there's a custom Policy Initiative / PolicySet, which helps enterprises prevent Azure services getting created with a public IP address in the first place.

  • Vynutil audit a shromažďování informací o protokolechEnforce audit and log information collection

    Nedostatek informací o auditování a diagnostice na podrobné úrovni může mít vliv na provozní postupy.Lack of auditing and diagnostics information at granular level can affect operational practices. Neúplné informace o auditu usnadňují korelaci protokolů z více služeb Azure a vytvoří souvislé prostředí ladění.Incomplete audit information makes it difficult to correlate logs from multiple Azure services and create a coherent debugging experience.

    Po zřízení služeb Azure by měly poskytovat podrobné informace o platformě Azure, se kterými pracují.Once Azure services are provisioned, they should provide detailed information about Azure platform they interact with. Tyto informace můžou být v podstatě rozdělené na protokoly a metriky.Such information can be broadly divided into logs and metrics. Každou službu Azure je možné dále kategorizovat do jejích dílčích komponent (například prostředek veřejné IP adresy Azure má DDoSProtectionNotifications , DDoSMitigationReports a DDoSMitigationFlowLogs jako své dílčí komponenty.Each Azure service can be further categorized into its sub-components (e.g. An Azure Public IP resource has DDoSProtectionNotifications, DDoSMitigationReports, and DDoSMitigationFlowLogs as its sub-components. Shromažďování diagnostických informací v těchto podkategoriích může výrazně zlepšit možnosti auditování a ladění.Collecting diagnostic information at these sub-categories can greatly enhance auditing and debugging experience.

    Vlastní iniciativa zásad je dostupná k vymáhání protokolů a kolekce metrik na hlubší úrovni, která podnikům pomáhá shromažďovat protokoly a metriky na službu Azure.A custom Policy Initiative is available to enforce logs and metrics collection at a deeper level, which helps enterprises gather logs and metrics per Azure Service. Tento iniciativa zahrnuje zásady pro každou službu Azure.This initiative includes a policy for every Azure service. Kategorie protokolů klíčů pro každou službu Azure a všechny metriky se automaticky shromažďují pomocí těchto zásad.Key log categories for each Azure service and all metrics are collected automatically through these policies.

  • Zajištění komplexního zabezpečení pro databáze SQLProvide comprehensive security for SQL Databases

    Databáze SQL jsou běžnou službou Azure ve většině nasazeními Azure.SQL databases are a common Azure service in most Azure deployments. U škodlivých aktivit v rámci podniku i mimo něj se ale taky jedná o primární cíl.Unfortunately, they are also prime target for malicious activities from within and outside of an enterprise.

    Vlastní iniciativa zásad konkrétně pro databáze SQL pomáhá implementovat klíčové postupy zásad správného řízení.A custom Policy Initiative specifically fo SQL Databases helps implement following key governance practices.

    • Zašifrovat data SQL v klidovém umístěníEncrypt SQL data at rest

      SQL Database a její zálohy jsou náchylné k rizikům, které by se dostaly do rukou škodlivých aktérů.SQL database and its backups are prone to risks of getting into hands of malicious actors. Obnovování databáze SQL je snadné z obou databázových souborů nebo ze zálohy.It's easy to restore SQL database from either database files or backup. Bez správné ochrany systému může mít škodlivý aktér přístup ke všem datům.Without proper defense system in place, malicious actors can have access to all the data.

      Zajištění, že je databáze SQL zašifrovaná v klidovém stavu, je jedním z prvních kroků k sestavování strategie obrany SQL Database.Ensuring that SQL database is encrypted at rest is one of the first steps towards building SQL database defense strategy. Azure SQL Database transparentní šifrování dat (TDE) zajišťuje, aby byla data v klidovém stavu zašifrovaná bez nutnosti změny úrovně kódu aplikace.Azure SQL database Transparent Data Encryption (TDE) ensures that data is encrypted at rest without needing any application code level change.

      SQL Database s povoleným TDE umožňuje škodlivým objektům actor získat přístup k datům, která drží, i v případě ohrožení.A SQL database with TDE enabled makes it hard for malicious actors to get access to data it holds even if its compromised.

      Vzhledem k tomu, že se nasazení Azure SQL Database v rámci podniku zvyšuje, je důležité, aby se vytvořily s povoleným TDE.As Azure SQL database deployments within an enterprise increases, it is important they are created with TDE enabled.

      Existují vlastní zásady, které zajistí, že databáze SQL Azure mají povolené TDE.There's a custom policy to ensure that Azure SQL databases have TDE enabled.

    • Vynutilit výstrahy pro podezřelou aktivituEnforce alerts for suspicious activity

      Chybné aktéry jsou na konstantním vyhledávání pro přístup k databázím Azure SQL, které jsou důležité pro podnikání a k jejich zneužití.Bad actors are on the constant lookout to access and exploit business-critical Azure SQL databases. Riziko těchto pokusů může snížit schopnost podniku detekovat a reagovat na ně.Risk of such attempts going unnoticed can reduce an enterprise's ability to detect and respond to them. V nejhorším případě může společnost nikdy zjistit, jestli došlo k ohrožení bezpečnosti jeho databáze SQL.In worst case scenario, an enterprise may never know if its SQL database has been compromised.

      Azure SQL Database poskytuje způsob, jak nastavit výstrahy zabezpečení, které mohou nahlásit podezřelé aktivity na SQL serveru.Azure SQL database provides way to set up security alerts that can report suspicious activities on SQL server. Tato výstraha odesílá e-maily předem nakonfigurovaným e-mailovým adresám a volitelně správcům a vlastníkům předplatného Azure.Such alert sends email to a pre-configured email addresses and optionally to Azure subscription admins and owners.

      K dispozici jsou vlastní zásady, které vynutily povolování výstrah zabezpečení pro databáze SQL Azure.There's a custom policy to enforce enabling of security alerts on Azure SQL databases. Enterprise může vymezit identifikaci škodlivých aktivit, jako je útok na injektáže SQL, útok hrubou silou atd. i když tyto výstrahy využívají.Enterprise can benefit from identifying malicious activities such as SQL injection attack, brute force attack, etc. though these alerts. Výstrahy zabezpečení poskytují podrobné informace o každém incidentu.Security alerts provide detailed information about every incident. Tyto podrobné informace jsou v Azure Portal a také se aktivuje e-mailová zpráva.This detailed information is surfaced in Azure portal and also an email message is triggered.

    • Vynutilit záznam o operacích audituEnforce audit trail of operations

      V rámci každodenních operací může být pro podnikově kritickou databázi SQL Azure podléhající velkému počtu příkazů DML (data Language), data Control Language (DCL) a jazyka DDL (Data Definition Language).A business-critical Azure SQL database can be subject to large number of Data Manipulation Language (DML), Data Control Language (DCL) and Data Definition Language (DDL) commands as part of day to day operations. Bez jasného řízení a přehledu o těchto provozních aktivitách je obtížné rozlišovat mezi legitimními a podezřelými operacemi.Without a clear control and insight into these operational activities, it's challenging to distinguish between legitimate and suspicious operations.

      Povolení auditování SQL může pomáhat při shromažďování důležitých informací o všech databázových činnostech.Enabling SQL Auditing can help in gathering important information about all database activities. Je to také požadavek pro mnoho požadavků na dodržování předpisů v oboru nebo regionálním dodržování legislativních předpisů.It's also a requirement for many industry/regional regulatory compliance requirements. Auditování SQL pomáhá generovat a hlásit záznam událostí databáze pro audit.SQL Auditing helps generating and reporting audit trail of database events.

      Podniky můžou použít vlastní zásadu k vymáhání Azure SQL Database auditování.Enterprises can use a custom policy to enforce Azure SQL Database Auditing. Tato zásada Audituje a oznamuje klíčové databázové události, jako jsou změny vlastnictví, úspěšná/neúspěšná přihlášení, změny členství v rolích, změny schématu atd. Podniky můžou použít tuto zásadu a záznam pro audit, který vygeneruje, aby získali přehled o databázových operacích a dodržovali oborové nebo regionální předpisy.This policy audits and reports key database events like ownership changes, successful/failed logins, role membership changes, schema changes, etc. Enterprises can use this policy and audit trail it generates to gain rich insights into database operations and comply with industry or regional regulatory requirements.

  • Vynutili vyhodnocení proti osvědčeným osvědčeným postupůmEnforce evaluation against proven best practices

    V průběhu svého životního cyklu Azure SQL Database překročí velký počet změn schématu, oprávnění a konfigurace.Throughout its lifecycle, Azure SQL database undergoes large number of schema, permission, and configuration changes. U takových změn je vždycky riziko, že se odchylují od osvědčených postupů.There's always a risk of such changes resulting in deviation from best practices. Škodlivé objekty actor mohou zneužít nadměrné oprávnění, osamocené role a mnoho takových nastavení.Excessive permissions, orphaned roles, and many such configurational drifts can be exploited by malicious actors.

    Služba Azure SQL Database obsahuje vestavěnou službu posouzení ohrožení zabezpečení.Azure SQL database has built-in vulnerability assessment service. Stav služby Azure SQL Database pomocí objektivu osvědčených postupů Microsoftu pro službu SQL Database je možné vyhodnotit pomocí posouzení ohrožení zabezpečení.State of Azure SQL database through the lens of Microsoft's best practices for SQL database can be evaluated using vulnerability assessment. Prohledávání posouzení ohrožení zabezpečení identifikuje rizika zabezpečení na úrovni databáze a serveru.A vulnerability assessment scan identifies database and server level security risks. K vyřešení ohrožení zabezpečení je možné také vygenerovat úlohu nápravy v příslušném scénáři.A remediation task in applicable scenario may be also generated to fix the vulnerability.

    Vlastní zásada nasazená v systému zajišťuje, aby byly databáze SQL Azure nakonfigurované s posouzením ohrožení zabezpečení.A custom policy deployed in ensures that Azure SQL databases are configured with vulnerability assessment. Kontroly vyhodnocení jsou pravidelně prováděny a sestavy se ukládají v účtu služby Azure Storage.The assessment scans are done periodically and reports are stored in Azure storage account. Předem definovaná e-mailová adresa se používá ke sdílení výsledků výsledků pravidelné kontroly pro účely generování sestav.Pre-defined email address is used to share the results of periodic scan results for reporting purposes.

  • Ochrana proti úmyslnému nebo neúmyslnému odstranění tajného klíčeProtect against intentional/unintentional secret deletion

    Azure Key Vault je služba pro ukládání důvěrných informací, jako jsou klíče, certifikáty, hesla atd. Uživatel se zlými úmysly může Azure Key Vault služby zneužít odstraněním tajných klíčů, které jsou v něm uložené.Azure Key Vault is a service to store confidential information such as keys, certificates, passwords, etc. A malicious user can potentially abuse Azure Key Vault service by deleting secrets stored inside it. Je také poměrně pravděpodobný, že uživatel může omylem odstranit citlivé informace uložené v Azure Key Vault.It's also quite likely that a user may accidentally delete sensitive information stored in Azure Key Vault. Bez správných ustanovení může dojít k závažnému poškození podniku, ať už se jedná o škodlivé nebo náhodné odstranění v Azure Key Vault.Without proper provisions in place, either malicious or accidental deletion in Azure Key Vault can cause significant business harm.

    Azure Key Vault poskytuje ochranu proti úmyslnému nebo neúmyslnému odstranění obsahu uloženého v něm prostřednictvím funkce obnovitelného odstranění.Azure Key Vault provides protection against intentional or unintentional deletion of contents stored inside it through soft-delete feature. Pokud je povolené obnovitelné odstranění, budou se odstraněné klíče uchovávat pro předem nakonfigurované časové období.When soft-delete is enabled, deleted keys will be retained for a pre-configured time period. Pokud byla operace odstranění neúmyslná, je možné obnovit odstraněný klíč v předem nakonfigurovaném časovém intervalu.If the delete operation was unintentional then deleted key can be restored within pre-configured time window. Pokud byla operace odstranění úmyslné, může být klíčovým obsahem odstraněno, dokud není provedena jiná operace vymazání – obvykle někdo s vyššími oprávněními.If the delete operation was intentional then key content can be deleted until an another purge operation is done - typically by someone with higher privileges.

    Existují vlastní zásady, které zajistí, že je ve výchozím nastavení povolený Trezor klíčů Azure s funkcí obnovitelného odstranění.There's a custom policy to ensure Azure Key vault is enabled with soft-delete feature by default. Podniky získají lepší kontrolu nad odstraněním Azure Key Vault obsahu pro neúmyslné operace.Enterprises get better control on deletion of Azure Key Vault content for unintentional operations. Tato zásada také poskytuje další vrstvu zabezpečení pro škodlivé odstranění Azure Key Vault obsahu.This policy also provides an extra security layer for malicious deletion of Azure Key Vault content.

  • Vyhovět firewallu webových aplikací (WAF)Enforce Web Application Firewall (WAF)

    Webové aplikace běžící na Azure jsou potenciální cílení na počet škodlivých útoků.Web applications running on Azure are potential targets of number of malicious attacks. Nejčastější 10 běžných útoků – například injektáže, skriptování mezi weby atd. zkuste zneužít známé chyby zabezpečení obvykle přidružené k webovým aplikacím.Top 10 common attacks - such as - injection, cross-site scripting, etc. try to exploit known vulnerabilities typically associated with web applications. Důsledky úspěšného útoku můžou být nákladné a můžou mít negativní dopad na hodnotu značky.Consequences of a successful attack can be costly and may impact brand value negatively.

    Firewall webových aplikací (WAF) služby Azure Application Gateway zajišťuje ochranu před běžnými útoky na webové aplikace.Azure Application Gateway Web Application Firewall (WAF) provides protection against common attacks on web applications. Implementuje základní sadu pravidel (počítačový systém) 3,1, 3,0 nebo 2.2.9, jak to doporučila aplikace OWASP (Open Web Application Security).It implements Core Rule Set (CRS) 3.1, 3.0 or 2.2.9 as recommended by the Open Web Application Security Project (OWASP). Zásady WAF se dají přidružit k Azure Application Gateway buď v režimu prevence , nebo v režimu detekce .WAF policies can be associated with Azure Application Gateway either in Prevention or Detection mode.

    K dispozici jsou vlastní zásady, které vám pomůžou zabránit potenciálním problémům s konfigurací v Azure Application Gateway.There's a custom policy to help in preventing potential misconfiguration on Azure Application Gateway. Vynutila Azure Application Gateway nejde vytvořit bez firewallu webových aplikací (WAF).It enforces Azure Application Gateway can't be created without a Web Application Firewall (WAF). Webové aplikace běžící v Azure a používání Azure Application Gateway jsou chráněné firewallem webových aplikací (WAF) v Azure Application Gateway.Web Applications running on Azure and using Azure Application Gateway are protected by Web Application Firewall (WAF) on Azure Application Gateway.

  • Zabránit předávání IP na virtuálních počítačíchPrevent IP forwarding on VMs

    Předávání IP umožňuje virtuálnímu počítači Azure směrovat přenosy, které přijímá, do jiných cílů.IP forwarding enables Azure VM to route traffic it receives to other destinations. Pokud to není výslovně nutné, může takové směrování potenciálně vystavovat virtuální počítač s veřejnou IP adresou jako směrovačem.Unless explicitly required, such routing may potentially expose a VM with public IP address as a router. K ostatním nezamýšleným sítím se dá získat přístup přes směrovač vydaný virtuálním počítačem s předáváním IP.Other unintended networks can be reached via VM-turned-router with IP forwarding.

    Azure poskytuje možnost konfigurovat předávání IP adres na Virtual Machines (virtuálních počítačích).Azure provides an option to configure IP forwarding on Virtual Machines (VMs). Tato možnost umožňuje nasazení specializovaného softwaru, jako jsou brány firewall, nástroje pro vyrovnávání zatížení atd., a to prostřednictvím Azure Marketplace.This option enables specialized software such as firewalls, load balancers, etc. to be deployed via Azure Marketplace. Všechny aplikace, které by mohly být nutné k použití těchto služeb, můžou je používat prostřednictvím Azure Marketplace transakce.Any application that may need to use these services, can use them via Azure Marketplace transaction.

    Bez jakýchkoli specifických potřeb se ale předávání IP na virtuálních počítačích může stát bezpečnostní odpovědností.However, outside of specific needs, IP forwarding on VMs may become a security liability. K dispozici jsou vlastní zásady, které zabrání virtuálním počítačům, které fungují jako směrovače IP pro předávání.There's a custom policy to prevent VMs acting as IP forwarding routers. Tato zásada se explicitně aplikuje v oboru cílové zóny.This policy is explicitly applied at landing zone scope. Virtuální počítače v cílové zóně by měly být konečné cíle pro požadavky uživatelů.VMs in landing zone should be final destinations for user requests. Jakékoli směrování by se mělo implementovat v rámci předplatného připojení.Any routing should be implemented in the connectivity subscription.

  • Vynutila centralizovanou správu záznamů DNSEnforce centralized DNS record management

    Zóny Azure Privátní DNS vám pomůžou vytvářet a spravovat záznamy DNS pro prostředky Azure.Azure Private DNS Zones help create and manage DNS records for Azure resources. Neřízené šíření privátních zón Azure může mít za následek problémy se správou &ho ladění síťového připojení.Uncontrolled proliferation of Azure Private Zones can result in management & network connectivity debugging issues. V hybridních prostředích, kde je potřeba připojení z místních lokalit do prostředků Azure, můžou fragmentované zóny DNS způsobit duplikaci záznamů DNS a související problémy s údržbou.In hybrid environments where connectivity from on-premise sites to Azure resources is needed, fragmented DNS zones can result in duplication of DNS records and associated maintenance challenges.

    Zónu Azure Privátní DNS lze centrálně nasadit pro snadnější správu záznamů DNS.Azure Private DNS Zone can be deployed centrally for easier management of DNS records. Azure Virtual Network propojených se soukromou zónou Azure může potenciálně spouštět řadiče domény, které pomáhají s zjednodušeným připojením z místních lokalit.Azure Virtual Network linked with Azure Private Zone can potentially run domain controllers, which helps streamlined connectivity from on-premise sites. Služby Azure, které podporují soukromý odkaz/koncový bod, můžou používat centrálně spravovanou soukromou zónu Azure a zabránit jejich tvorbě na nasazení aplikace.Azure services, which support Private Link/Endpoint can use centrally managed Azure Private Zone and prevent having to create them per application deployment.

    Vlastní zásady se dají nasadit, aby se zabránilo vytváření zóny Azure Privátní DNS v oboru, ve kterém se použije.A custom policy can be deployed to prevent creation of Azure Private DNS Zone in the scope over which its applied. Podniky můžou u těchto zásad zobrazit stav dodržování předpisů i v případě, že je vynucování zásad zakázané.Enterprises can view compliance status against this policy even when the policy enforcement is disabled. Tato zásada pomáhá zjednodušit připojení z místních lokalit a přístup ke službám Azure PaaS pomocí privátního propojení/koncového bodu.This policy helps in streamlining connectivity from on-premise sites and access to Azure PaaS services using Private Link/Endpoint.

  • Vynutilit řízení síťového provozuEnforce network traffic control

    Službu Azure Virtual Network (VNet) je možné rozdělit do několika podsítí.An Azure Virtual Network (VNet) can be segmented into multiple Subnets. Ve výchozím nastavení neexistuje mezi těmito podsítěmi řízení přístupu k síti.By default, there's no network access control between these subnets. Nedostatek řízení přístupu k síti může mít za následek nevyžádaný síťový provoz, který přicházejí do podsítě.Lack of network access control can result in unsolicited network traffic arriving inside a subnet.

    Skupina zabezpečení sítě Azure (NSG) pomáhá filtrovat příchozí provoz do a z podsítě.Azure Network Security Group (NSG) helps is filtering incoming traffic to and from a subnet. Skupin zabezpečení sítě může povolit nebo zamítnout síťový provoz na základě stavové kontroly paketů.NSGs can allow or deny network traffic based on stateful packet inspection. Všechny prostředky v podsíti můžou přijímat přenosy jenom z povolených rozsahů IP adres.Any resources inside subnet can receive traffic from only allowed IP address range(s).

    K vykonání každé podsítě jsou k dispozici vlastní zásady, ke kterým je přidružená NSG.There's a custom policy to enforce every subnet has a NSG associated with it. Kombinace podsítě a NSG zajišťuje, že výchozí sada pravidel řídí provoz do a z podsítě.A combination of subnet and NSG ensures that a default set of rules controls traffic to and from a subnet. Podniky můžou Přidat/upravit pravidla pro další řízení provozu podle potřeb.Enterprises can add/modify rules to control traffic further based on the needs.

  • Detekce a ochrana před bezpečnostními hrozbami pomocí Azure Security CenterDetect and protect against security threats by using Azure Security Center

    Předplatné Azure může obsahovat víc typů prostředků, jako jsou virtuální počítače, image kontejnerů atd. Tyto prostředky jsou vystaveny rizikům, jako je například instalace malwaru nebo nežádoucího softwaru, neřízený přístup k portům pro správu na virtuálním počítači atd. Díky bezpečnostním útokům, které jsou neustále sofistikované a omezené dodávání zkušeným odborníkům na zabezpečení, je zjišťování slabých chyb zabezpečení a ochrany úloh mimořádně náročné.An Azure subscription can hold multiple types of resource like VMs, Container Images, etc. These resources are exposed to risks such as malware/unwanted software installation, uncontrolled access to management ports on a VM, etc. With security attacks getting ever sophisticated and a limited-supply of experienced security professionals, detecting security vulnerabilities and protecting workloads is extremely challenging.

    Azure Security Center je nativní systém pro správu zabezpečení Azure, který posuzuje prostředky Azure pro jejich stav zabezpečení v rámci osvědčených postupů zabezpečení.Azure Security Center is Azure's native security management system, which assesses Azure resources for their security posture against security best practices. Azure Security Center pomáhá detekovat a bránit hrozbám proti datům a službám aplikací.Azure security center helps to detect and prevent threats against data and application services. V případě více integračních bodů je možné Azure Security Center nasadit rychle.With multiple integration points, Azure Security center can be deployed quickly.

    Vlastní zásady pomáhají při registraci předplatných Azure pomocí režimu Azure Security Center Standard, který umožňuje předplatným Azure začít získávat detekci a ochranu před hrozbami zabezpečení, které nabízí Azure Security Center.A custom policy helps in enrolling Azure subscription(s) with Azure Security Center Standard mode, which enables Azure subscription(s) to start getting security threat detection and protection which are offered by Azure Security Center. Tato zásada zajišťuje, že se do Azure Security Center automaticky vztahuje klíčové služby Azure, jako jsou virtuální počítače, účty úložiště a sedm dalších služeb.This policy ensures key Azure services such as VMs, Storage Accounts and seven other services are automatically covered by Azure Security Center. Výhody z hlediska zabezpečení, které jsou v souladu s průběžným vyhodnocováním zabezpečení, by měly být jakékoli odchylky od osvědčených postupů zabezpečení.Enterprises benefits from continuous security assessment and actionable recommendations should there be any deviation from security best practice.

  • Ochrana před útoky ransomwarem a dalšími problémy souvisejícími se ztrátou datProtect against ransomware attacks and other data-loss related issues

    Zvýšení četnosti útoků ransomwarem & útoku na neoprávněné vniknutí je ještě další obavou pro podniky.Increasing frequency of ransomware & intrusion attacks pose yet another concern for enterprises. Úspěšný útok ransomwarem může přerušit důležité procesy a aplikace.A successful ransomware attack can disrupt business-critical processes and applications. Útočníci označují, že podniky drží jako Hostage velké množství peněz.Attackers are known to hold enterprises as hostage for huge amounts of money.

    Azure Backup poskytuje ochranu pro virtuální počítače Azure proti náhodnému nebo úmyslnému zničení dat.Azure Backup provides protection for Azure VMs against accidental or intentional data destruction. Zálohování Azure je snadné nakonfigurovat a škálovat.Azure Backups are easy to configure and scale. Data se zálohují do trezoru služby Azure Recovery, což umožňuje snadnou správu a ochranu.Data is backed up in Azure Recovery Vault for easy management and protection.

    K dispozici jsou vlastní zásady, které chrání virtuální počítače Azure konfigurací Azure Backup pro ně.There's a custom policy that protects Azure VMs by configuring Azure Backup for them. Tato zásada automaticky zřídí službu Azure Recovery Services trezor a vytvoří kontejner zálohování pro každý virtuální počítač Azure, který se vytvoří.This policy automatically provisions Azure Recovery Services Vault and creates backup container for every Azure VM that gets created.

  • Ochrana před útoky DDoSProtect against DDoS attacks

    Veškerý veřejně dosažitelný prostředek Azure je vystavený hrozbě útoku na distribuovaný útok s cílem odepření provozu (DDoS).Any publically reachable Azure resource is exposed to threat of Distributed Denial of Service (DDoS) attack. Úspěšný útok DDoS může ovlivnit dostupnost aplikace pro zamýšlené uživatele.A successful DDoS attack can affect the application's availability to it's intended users. Dlouhodobě DDoS útok může vyčerpat všechny dostupné prostředky a vést k výpadkům pro aplikace kritické pro podnikání.A prolonged DDoS attack can exhaust all available resources and result in downtime for business-critical application(s).

    Služba Azure DDoS Protection chrání prostředky Azure před útoky DDoS.Azure DDoS Protection service defends Azure resources against DDoS attacks. Azure DDoS Protection nepřetržitě monitoruje příchozí provoz, aby bylo možné identifikovat potenciální indikace útoku DDoS.Azure DDoS Protection continuously monitors incoming traffic to identify potential indications of a DDoS attack. Podniky využívají při aktivním útoku práci s týmem společnosti Microsoft pro DDoS Rapid Response (DRR).Enterprises benefit from working with Microsoft's DDoS Rapid Response (DRR) team during an active attack.

    K dispozici jsou vlastní zásady, které automaticky zřídí plán Azure DDoS standard pro všechna předplatná Azure v rámci svého oboru.There's a custom policy that automatically provisions Azure DDoS Standard plan on all Azure subscriptions under its scope. Stejné zásady taky umožňují podnikům vybrat oblasti Azure, které se mají pokrýt jako součást přiřazení.Same policy also enables enterprises to select the Azure regions to be covered as part of the assignment.

  • Automatické zřízení privátního propojení/koncového bodu s Privátní DNS zónouAuto-provision Private Link/Endpoint with Private DNS Zone

    Privátní odkaz Azure a soukromý koncový bod Azure poskytují přístup k službám Azure typu platforma jako služba (PaaS) pomocí privátních IP adres.Azure Private Link and Azure Private Endpoint provide access to Azure Platform-as-a-service (PaaS) services using private IP addresses. Pro překlad záznamů DNS se ale vyžaduje zóna Azure Privátní DNS.However, Azure Private DNS Zone is needed for DNS record resolution. Vytváření privátních zón Azure pro každou aplikaci, která potřebuje přístup ke službám Azure PaaS, je výzvou ke správě a údržbě.Creation of Azure Private Zones for every application that needs to access Azure PaaS services is a management and maintenance challenge.

    Skupina zón Azure Privátní DNS pomáhá seskupovat připojení privátních propojení službami Azure, jako jsou objekty blob, Queue, Table, SQL atd.Azure Private DNS Zone Group helps is grouping the Private Link connections by Azure Services like blob, queue, table, sql, etc. Použití soukromé zóny Azure na službu.using an Azure Private Zone per service.

    Podniky můžou vytvářet centrální zóny Azure a vlastní zásady budou automaticky zřizovat připojení mezi soukromým linkou/koncovým bodem a oblastí Privátní DNS pro služby Azure.Enterprises can create central Azure Private Zones and custom policies will auto-provision connections between Private Link/Endpoint and Private DNS Zone for Azure services.

  • Centrálně spravovat pravidla brány firewallCentrally manage firewall rules

    Fragmentovaná pravidla brány firewall můžou vést k neřízeným a dvojznačným cestám síťového provozu.Fragmented firewall rules can lead to uncontrolled and ambiguous network traffic paths. Průběžné změny pravidel brány firewall pro každou instanci brány firewall usnadňují vyhodnocení stav zabezpečení sítě.Continuous changes in the firewalls rules for every instance of firewall makes it difficult to assess the network security posture. Víc pravidel znemožňuje rozlišovat mezi centrálně spravovanými základními pravidly a pravidly síťových cest pro konkrétní úlohy.Multiple rules make it impossible to distinguish between centrally managed basic set of rules and workload-specific network path rules.

    Zásady Azure Firewall pomáhají definovat základní minimální sadu pravidel použitelných v celém podniku.Azure Firewall Policy helps to define basic minimum set of rules applicable throughout an enterprise. Zásady specifické pro aplikaci mohou dědit ze základních pravidel, aby bylo možné vytvořit hierarchická pravidla, aby splňovala požadavky na pravidla brány firewall pro podnikové i specifické aplikace.Application-specific policy can inherit from basic rules to allow creation of hierarchical rules to meet both enterprise and application-specific firewall rule requirements. Pravidla se nakonfigurují pomocí zásad a můžou být centrálně spravovaná a monitorovaná.When rules are configured through policies then they can be centrally managed and monitored.

    Vlastní zásady umožňují podnikům definovat zásady Azure Firewall centrálně.A custom policy enables enterprises to define Azure Firewall policies centrally. Podniky mají kontrolu nad definováním pravidel a priorit, aby splnily požadavky na směrování síťových přenosů.Enterprises are in control of defining rules and priority to meet their network traffic routing requirements. Když se zásady brány firewall centrálně definují, můžou je v závislosti na potřebách použít buď na Azure Virtual WAN, nebo v centru Azure a na síťové topologii.By defining firewall policies centrally, enterprises can apply them to either Azure Virtual WAN or Azure Hub and Spoke Networking topology depending upon needs.

  • Zřízení síťové topologie centra a paprskůProvision Hub and Spoke Network topology

    Jelikož se další úlohy začnou nasazovat v Azure, začnou používat společnou sadu služeb, jako je brána firewall, brány VPN Gateway atd. Pokud není pečlivě plánováno, nasazení běžných služeb se replikuje na nasazení aplikace, což vede k nejenom zbytečným nákladům, ale i provozní režii.As more workloads start to get deployed in Azure, they start to use a common set of services such as Firewall, VPN gateways, etc. If not carefully planned, common services deployment gets replicated per application deployment resulting not only in unnecessary costs but also operational overhead. Ve scénářích, ve kterých je místní připojení potřeba z Azure, se síťová topologie bude obtížné udržovat, protože toto připojení je navázáno na nasazení aplikace.In scenarios where on-premise connectivity is needed from Azure, network topology becomes difficult to maintain as this connectivity is established per application deployment.

    Síťová topologie centra Azure a paprsků zjednodušuje potřeby připojení k síti.Azure Hub and Spoke network topology streamlines the network connectivity needs. Virtual Network hub (VNet) může hostovat sdílené služby, zatímco paprskový virtuální sítě může hostovat prostředky Azure specifické pro aplikaci.A Hub Virtual Network (VNet) can host the shared services while spoke VNets can host application-specific Azure resources. Hub a paprskový virtuální sítě jsou vzájemně propojené prostřednictvím partnerského vztahu virtuálních sítí.Hub and Spoke VNets are connected with each other via VNet Peering. Topologie sítě centra a paprsků podporuje čistý návrh sítě, jednodušší správu a optimalizaci nákladů.Hub and Spoke network topology promotes clean network design, easier management, and cost optimization.

    K dispozici jsou vlastní zásady, které zřídí virtuální síť centra s bránou Azure Firewall, VPN Gateway a ExpressRoute (ER).There's a custom policy that provisions Hub VNet with Azure Firewall, VPN Gateway, and ExpressRoute (ER) Gateway. Podniky můžou nakonfigurovat všechny možnosti brány firewall, VPN a ER jako součást přiřazení zásady.Enterprises can configure all the options for Firewall, VPN, and ER gateway as part of the policy assignment. Tato zásada zjednodušuje proces nasazení síťové topologie centra Azure a paprsků.This policy simplifies the process to deploy Azure Hub and Spoke network topology.

    Jiné vlastní zásady zabrání vzájemné komunikaci dvou virtuálních sítí (virtuální sítě) s sebou, protože mohou vzájemně komunikovat prostřednictvím virtuální sítě rozbočovače.Another custom policy prevents two Virtual Networks (VNets) getting peered with each other as they can communicate with each other via Hub VNet. Když vynutíte, aby virtuální sítě vzájemně komunikovaly prostřednictvím centra, umožní vám řídit a monitorovat síťová připojení.When forcing VNets to communicate with each other through Hub, makes it possible to control and monitor network connections. Topologie sítě se zjednodušuje i z celkové perspektivy údržby.Network topology is simplified from overall maintenance perspective as well.

  • Zřídit výchozí konfiguraci pro Azure MonitorProvision default configuration for Azure Monitor

    Neschopnost identifikovat a vizualizovat vztah mezi platformou Azure, službami Azure a aplikacemi Azure může mít za následek výpadky nebo zhoršení výkonu, které se nedetekuje.Inability to identify and visualize relationship between Azure platform, Azure service(s), and Azure application(s) may result into an outage or degraded performance going undetected. Tým operací nebo podpory může přijít o příležitost provést nápravná opatření ke konkrétní podmínce.Operations or Support team may miss an opportunity to take corrective action to a specific condition. Aplikace Azure se nemusí škálovat samy na sebe, aby reagovala na přepětí nebo Slump na vyžádání.An Azure application may not scale itself to respond to either surge or slump in the demand.

    Protokoly Azure Monitor společně s pracovním prostorem Azure Log Analytics v souvislosti s používáním výstrah v souvislosti s kritickými podmínkami.Azure Monitor Logs along with Azure Log Analytics Workspace help enterprises in dealing with critical conditions using Alerts. Azure Monitor protokoly a Log Analytics v pracovním prostoru, díky tomu můžou podniky vizualizovat a pracovat s bohatou sadou informací protokolu prostřednictvím řídicích panelů, sešitů a Power BI.Azure Monitor Logs and Log Analytics Workspace together, empower enterprises to visualize and interact with rich set of log information through dashboards, workbooks, and Power BI. Podniky můžou používat protokoly Azure Monitor a Log Analytics pracovní prostor ke konfiguraci automatického škálování na virtuálních počítačích, aby se automaticky přidaly nebo odebraly nadbytečné instance.Enterprises can use Azure Monitor Logs and Log Analytics Workspace together to configure auto-scaling on VMs to automatically adding or removing extra instances.

    Vlastní zásady pomáhají při konfiguraci Log Analyticsho pracovního prostoru pomocí Azure Monitor.A custom policy helps in configuring Log Analytics Workspace with Azure Monitor. Tato zásada nasadí předbalené sestavy řídicích panelů, které jsou označovány jako Azure Monitor řešení pro konkrétní služby Azure, jako je například Azure SQL Database nebo Azure Active Directory.This policy deploys pre-packaged dashboard reports referred as Azure Monitor Solutions for specific Azure services such as Azure SQL Database or Azure Active Directory. Také nakonfiguruje zdroje dat, jako jsou systémy Linux a metriky výkonu virtuálních počítačů s Windows, pomocí Azure Monitor.It also configures data sources such as Linux and Windows VM Performance metrics with Azure Monitor.

  • Povolit úložiště protokolů a dotazováníEnable Log Storage and Querying

    Pokud nedojde k pečlivému plánovanému naplánování, informace protokolu pocházející z více zdrojů se můžou snadno nepraktický.If not carefully planned, log information coming from multiple sources is Azure can easily become unwieldy. Zaznamenávání, ukládání a správa protokolů může spotřebovat spoustu prostředků, času a nákladů.Capturing, storing, and managing logs can consume plenty of resources, time, and costs. Identifikace trendů nebo vzorů po dlouhou dobu a překročení velkých objemů protokolů může být náročné.Identifying trends or patterns over a long period of time and over huge amount of logs can become challenging.

    Azure Log Analytics umožňuje podnikům efektivně ukládat a spravovat protokoly z více zdrojů.Azure Log Analytics enables enterprises to store and manage logs from multiple sources efficiently. Dotazování na data uložená v Azure Log Analytics pro trend nebo analýzu vzorů je díky Azure Log Analytics snadné.Querying the data stored in Azure Log Analytics for trend or pattern analysis is easy with Azure Log Analytics. Výstrahy nebo interaktivní sestavy můžete vytvářet pomocí Azure Log Analytics dotazů.Alerts or interactive reports can be created using Azure Log Analytics queries.

    K dispozici jsou vlastní zásady, které vytvoří pracovní prostor Azure Log Analytics, který slouží jako úložiště pro ukládání dat protokolu.There's a custom policy, which creates Azure Log Analytics Workspace that acts as a repository to store log data. Pro automatizaci úloh nebo nasazení řešení Azure Monitor, která mohou mít závislost na Log Analytics pracovním prostoru, se vytvoří také účet Azure Automation a propojení s pracovním prostorem Log Analytics.An Azure Automation Account is also created and linked with Log Analytics Workspace for automating tasks or deploying Azure Monitor Solutions, which may have dependency on Log Analytics Workspace. Pomáhá také při konfiguraci vlastností, jako je doba uchování protokolu, oblast Azure atd.It also helps in configuring properties such as log retention period, Azure region, etc.

  • Zřízení protokolování pro servery s povoleným Azure-ArcProvision logging for Azure-Arc enabled servers

    Díky tomu, že Estates pokrývá více cloudů, místních lokalit a hraničních umístění, může být mnoho podniků působit potíže na správu a řízení serverů, které jsou rozptýlené napříč prostředími a geografickými umístěními.With IT estates spanning multiple clouds, on-premise sites and edge locations, many enterprises may be struggling to manage and govern servers, which are scattered across environments and geographic locations. Použití velkého množství produktů k monitorování serverů může být prostředí jarring.Using multitude of products to monitor servers can be a jarring experience. Vytváření a Správa serverů ve více prostředích v rámci jednoho řešení jednotného přístupu a správy identit může být náročné.Putting servers in multiple environments under a single unified access and identity management solution can be challenging to set up and manage.

    Azure ARC usnadňuje řízení a správu prostředků, jako jsou servery, clustery Kubernetes a datové služby napříč heterogenními prostředími.Azure Arc simplifies governance and management of resources such as servers, kubernetes clusters, and data services across heterogeneous environments. Díky projekci hybridních prostředků jako nativních prostředků Azure poskytuje Azure ARC jediné podokno řízení pro správu nativních a hybridních prostředků.By projecting hybrid resources as native Azure resources, Azure Arc provides a single pane of control for management of native and hybrid resources. Azure ARC přináší v rámci jednoho sjednoceného řešení RBAC nativní a hybridní prostředky.Azure Arc brings native and hybrid resources under a single unified RBAC solution.

    Pár vlastních zásad pomáhá podnikům nastavit Log Analytics agenta na platformě Azure ARC s povoleným & Windows servery.A pair of custom policies helps enterprises setting up Log Analytics agent on Azure Arc enabled Linux & Windows servers. Log Analytics pracovní prostor je také nakonfigurován pro ukládání a správu protokolů.A Log Analytics Workspace is also configured to store and manage logs. Po úspěšném přiřazení zásada vrátí název serverů v rámci zásad, který je nakonfigurovaný s Log Analytics agentem.When assigned successfully, policy returns the name of server(s) within the scope of policy, which is configured with Log Analytics agent on it.

  • Vynutilo shromažďování protokolů síťových přenosůEnforce Network Traffic Log collection

    I když Azure Virtual Network (VNet) a podsíť poskytují hranici logické sítě, je stále nutné monitorovat síťový provoz v Azure.While Azure Virtual Network (VNet) and Subnet provide a logical private network boundary, it is still essential to monitor the network traffic in Azure. Bez správného monitorování sítě jsou podniky vystavené riziku nežádoucího nebo neznámého provozu přicházejícího se do sítí Azure z ohrožených IP adres.Without proper network monitoring, enterprises are exposed to the risk of undesired or unknown traffic coming to Azure networks from compromised IP addresses. To je náročné na zajištění dodatečné kapacity pro jakékoli zvýšení síťového provozu bez porozumění aktuálnímu provozu.It becomes challenging to provision extra capacity for any increase in the network traffic without understanding the current traffic.

    Azure Network Watcher poskytuje způsob, jak monitorovat a v případě potřeby opravit problémy v síti související s IaaS službami v Azure.Azure Network Watcher provides a way to monitor and if necessary repair any network issue related to IaaS services in Azure. Protokoly toku pro skupinu zabezpečení sítě (NSG) poskytují způsob, jak zachytit informace o průchodech síťového provozu prostřednictvím NSG.Network Security Group (NSG) flow logs provides a way to capture information about network traffic traversing through NSG. Podniky můžou vytěžit z analýzy provozu & vzorů, předpovědi budoucích potřeb kapacity a vymáhat dodržování předpisů ve firemních zásadách zásad správného řízení.Enterprises can benefit from traffic analysis & patterns, forecast future capacity needs and enforce compliance against corporate governance policies.

    K dispozici jsou vlastní zásady, které pomáhají při nastavování protokolů toku služby Azure Network Watcher NSG Flow.There is a custom policy, which helps in setting up Azure Network Watcher NSG flow logs. Účet Azure Storage se zřídí jako úložiště pro ukládání protokolů toku NSG.An Azure Storage Account is provisioned as repository to store NSG flow logs. Tato zásada také konfiguruje dobu uchovávání dat pro ukládání protokolů toku NSG.This policy also configuring the retention period to store the NSG flow logs.

  • Zřízení řešení síťového připojení na úrovni kapacityProvision at-scale network connectivity solution

    Požadavky na připojení k síti pro podnik můžou být složité.Network connectivity requirements for an enterprise can be complex. Stálé požadavky na přidávání nových webů, zařízení a uživatelů do neustále se rozšiřující sítě jsou velmi náročné na zřízení a správu.Constant requests for adding New sites, devices, and users to ever-expanding network are very challenging to provision and manage. Nároky na šířku pásma a propustnost sítě více dotykových bodů v rámci podniku můžou být velmi náročné.Network bandwidth and throughput demands by multiple touch-points within an enterprise can be very demanding.

    Azure Virtual WAN (vWAN) je síťová služba na podnikové úrovni, která má za cíl řešit případné problémy s připojením.Azure Virtual WAN (vWAN) is an enterprise-grade network service aimed towards addressing any-to-any connectivity challenges. Azure vWAN poskytuje vyšší agregovanou propustnost s připojením k síti.Azure vWAN provides higher aggregate throughput with network connectivity. Poskytuje optimální směrování přes páteřní síť Azure a jednotné prostředí pro správu z Azure.It provides optimal routing over Azure backbone and a unified management experience from Azure.

    Vlastní zásady umožňují nastavit Azure vWAN.A custom policy enables setting up an Azure vWAN. Tato zásada pomáhá zřídit Azure vWAN hub v vWAN.This policy helps in provisioning Azure vWAN hub inside vWAN. Podniky mohou nasadit virtuální rozbočovač, který funguje jako centrální bod pro připojení z více zdrojů a cílů.Enterprises can deploy a Virtual Hub, which acts as a central point for connections from multiple sources and destinations. ExpressRoute brány VPN a Azure Firewall se taky zřídí, aby se vyřešily požadavky na připojení k síti.ExpressRoute, VPN gateways and Azure Firewall is also provisioned to address any-to-any network connectivity requirements.

  • Zřídit zálohu pro virtuální počítače AzureProvision backup for Azure VMs

    Při zvyšování cloudového hlediska budou problémy s podnikovým cílem zajistit, aby byly úlohy spuštěné v Azure zálohované.As cloud adoption increases, enterprise face challenges of ensuring that workloads running in Azure are backed up. Konvenční IT podpora model, ve kterém jsou spravované aplikace a operace IT spravované samostatnými týmy, někdy ponechá dvířka otevřená pro nejasné vlastnictví záloh virtuálních počítačů.Conventional IT support model where app development and IT operations are managed by separate Teams, sometimes leaves the door open for unclear ownership of VM backups. V případě úmyslného nebo neúmyslného scénáře, který vyžaduje zálohování virtuálních počítačů pro obnovení úloh, může chybějící proces zálohování způsobit nákladné důsledky.In either intentional or unintentional scenario, which requires VM backups for workload restoration, missing backup process can result in costly consequences.

    Azure Backup poskytuje bezproblémovou, snadnou a integrovanou možnost pro zálohování virtuálních počítačů, které běží buď v Azure, nebo v místních lokalitách.Azure Backup provides a seamless, easy, and integrated option for backing up VMs running either in Azure or in on-premise sites. Azure Backup využívá úložiště škály cloudu a uvolňuje podniky, aby musely průběžně zastarat a spravovat úložiště potřebné pro zálohování.Azure Backup uses cloud scale storage and frees enterprises from having to constantly procure and manage storage needed for backups. Azure Backup poskytuje úložiště pro bezpečné ukládání dat při přenosu a v klidovém provozu.Azure Backup provides a repository to store data securely in transit and at-rest.

    K dispozici jsou vlastní zásady, které automaticky nakonfigurují ochranu Azure Backup pro virtuální počítače s Windows a Linuxem.There is a custom policy that automatically configures Azure backup protection for Windows and Linux VMs. Trezor služby Recovery Services je nakonfigurovaný pro ukládání záloh, který bezpečně ukládá data a poskytuje ochranu před škodlivým odstraněním zálohy prostřednictvím obnovitelného odstranění.A Recovery Service Vault is configured for storing backup, which securely stores data and provides protection against malicious deletion of backup through soft delete. Vytvoří se výchozí zásada zálohování, která se přiřadí předem nakonfigurovaným hodnotám pro plán zálohování, dobu uchovávání záloh atd.A default backup policy is created and assigned with pre-configured values for backup schedule, backup retention period, etc.

  • Zřizování připojení mezi virtuálními sítěmi (virtuální sítě)Provision connectivity between Virtual Networks (VNets)

    Je běžné mít úlohy rozptýlené napříč několika předplatnými nebo virtuálními sítěmi (virtuální sítě) v podniku.It is common to have workloads scattered across multiple subscriptions or virtual networks (VNets) in an enterprise. Bez vyhrazeného a zabezpečeného síťového připojení budou důležité obchodní aplikace bojovat s výměnou dat.Without a dedicated and secure network connectivity between them, critical business applications will struggle with data exchange. Internetové připojení k síti bude představovat nekonzistentní šířku pásma a výkon sítě.An internet-based network connectivity will pose inconsistent network bandwidth and performance. Potenciální vysoká latence sítě může negativně ovlivnit činnost koncového uživatele.Potential high network latency may impact user experience adversely.

    Partnerský vztah Azure Virtual Network zajišťuje síťové připojení mezi dvěma virtuálními sítěmi (virtuální sítě) přes páteřní síť Microsoft.Azure Virtual Network Peering provides network connectivity between two virtual networks (VNets) over Microsoft backbone network. Partnerský vztah Azure umožňuje připojení k síti s nízkou latencí a vysokou šířkou pásma.Azure Peering enables high-bandwidth low-latency network connectivity. Data se dají bezpečně vyměňovat mezi různými předplatnými Azure, klienty nebo oblastmi Azure.Data can be exchanged securely between separate Azure subscriptions, tenants, or Azure regions.

    Vlastní zásady poskytují šablonu pro nastavení Virtual Network partnerských vztahů.A custom policy provides a template for setting up Virtual Network Peering. Rozložení sítě vyjádřené v definici šablony ARM lze předat jako parametr.A network layout expressed in ARM template definition can be passed as a parameter. Tato zásada vyplní virtuální sítě a nakonfiguruje partnerský vztah virtuálních sítí mezi nimi a závislostmi, jako jsou NSG, UDR atd.This policy will spin up Virtual Networks and configure VNet Peering between them along with dependencies such as NSG, UDR, etc.

  • Vynutilit virtuální počítače s Windows pro připojení k doméně ADEnforce Windows VMs to join AD Domain

    Podniky používaly virtuální počítače připojené k doméně pro konzistentní prostředí pro správu.Enterprises have been using domain joined VMs for a consistent management experience. Když jsou operace, jako jsou zásady hesel pro firmy, centrální ověřování atd., vytvořené jako součást zásad domény, virtuální počítač, který se nepřipojuje k doméně, je vystavený rizikům, jako je slabé heslo, nemožnost připojit se k podnikovým zařízením, aplikacím atd.When operations such as corporate password policy, central authentication, etc. are created as part of domain policies, a VM that does not join the domain, is exposed to risks such as weak password, inability to connect with corporate devices, applications, etc. Starší aplikace, které spoléhají na ověřovací protokoly, jako je NTLM, můžou při nasazení na virtuálních počítačích, které nejsou připojené k doméně, vyvolávat problémy s ověřováním pomocí protokolu Kerberos.Legacy applications that rely upon authentication protocols such as NTLM, Kerberos may face authentication issues when deployed on VMs that are not domain joined.

    Azure poskytuje spravované i nespravované řešení pro implementaci doménových služeb.Azure provides managed as well as unmanaged solutions for implementing domain services. V případě samoobslužně spravovaných Active Directory Domain Services (služba AD DS) v Azure získají podniky úplnou kontrolu nad nastavením, konfigurací a operacemi, které jsou stejné jako v místním prostředí.With self-managed Active Directory Domain Services (AD DS) in Azure, enterprises get complete control on the setup, configuration, and operations same as in an on-premise environment. Služba Azure Active Directory Domain Service (AAD DS) nenabízí veškerou režii při správě od podniků a přitom stále poskytuje základní doménové služby.Azure Active Directory Domain Service (AAD DS) takes away all the management overhead away from enterprises while still providing essential domain services.

    Vlastní zásada, která zajišťuje, že se nově vytvořený virtuální počítač s Windows automaticky připojí k doméně.A custom policy that ensures any newly created Windows VM automatically joins the domain. Přípona JsonADDomainExtension – je nasazená na virtuálním počítači, který používá další nastavení konfigurace, jako je uživatelské jméno, doména, OUPath atd. tím zajistíte, že se virtuální počítač připojí k zadané doméně.An extension - JsonADDomainExtension - is deployed on the VM that uses other configuration settings such as username, domain, OUPath, etc. to ensure that VM joins the specified domain. Tato zásada využívá Azure webtrezor ke správě důvěrných informací, jako je třeba uživatelské jméno a heslo domény.This policy uses Azure KeyVault to manage confidential information such as domain username and password.