Arbeiten mit SicherheitsrichtlinienWorking with security policies

In diesem Artikel wird beschrieben, wie Sicherheitsrichtlinien konfiguriert werden und wie Sie sie in Security Center anzeigen.This article explains how security policies are configured, and how to view them in Security Center. Azure Security Center weist seine integrierten Sicherheitsrichtlinien automatisch für jedes Abonnement zu, für das das Onboarding durchgeführt wird.Azure Security Center automatically assigns its built-in security policies on each subscription that is onboarded. Sie können sie in Azure Policy konfigurieren und haben hierbei auch die Möglichkeit, Richtlinien übergreifend für Verwaltungsgruppen und mehrere Abonnements festzulegen.You can configure them in Azure Policy, which also enables you to set policies across Management groups and across multiple subscriptions.

Anweisungen dazu, wie Richtlinien über PowerShell festgelegt werden, finden Sie unter Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen mithilfe des Azure PowerShell-Moduls.For instructions on how to set policies using PowerShell, see Quickstart: Create a policy assignment to identify non-compliant resources using the Azure PowerShell module.

Hinweis

Die Integration von Security Center in Azure Policy hat begonnen.Security Center started its integration with Azure Policy. Bestandskunden werden automatisch zur neuen integrierten Initiative in Azure Policy anstelle der vorherigen Sicherheitsrichtlinien in Security Center migriert.Existing customers will be automatically migrated to the new built-in initiative in Azure Policy, instead of the previous security policies in Security Center. Diese Änderung wirkt sich nicht auf Ihre Ressourcen oder Umgebung aus, mit der Ausnahme, dass die neue Initiative in Azure Policy vorhanden ist.This change will not affect your resources or environment except the presence of the new initiative in Azure Policy.

Was sind Sicherheitsrichtlinien?What are security policies?

Eine Sicherheitsrichtlinie definiert die gewünschte Konfiguration Ihrer Workloads und trägt zur Erfüllung unternehmensbezogener oder gesetzlicher Sicherheitsanforderungen bei.A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. In Azure Policy können Sie Richtlinien für Ihre Azure-Abonnements definieren und auf die Art der Workload oder auf die Vertraulichkeit der Daten abstimmen.In Azure Policy, you can define policies for your Azure subscriptions and tailor them to your type of workload or the sensitivity of your data. So kann etwa für Anwendungen mit regulierten Daten, wie personenbezogene Informationen oder Kundendaten, eine höhere Sicherheitsstufe erforderlich sein als für andere Workloads.For example, applications that use regulated data, such as personal data or customer data, might require a higher level of security than other workloads. Um eine Richtlinie mehreren Abonnements oder Verwaltungsgruppen zuzuweisen, legen Sie diese in Azure Policy fest.To set a policy across subscriptions or on Management groups, set them in Azure Policy.

Ihre Sicherheitsrichtlinien sind die Grundlage der Sicherheitsempfehlungen, die Sie in Azure Security Center erhalten.Your security policies drive the security recommendations you get in Azure Security Center. Sie können ihre Einhaltung überwachen, damit Sie potenzielle Sicherheitsrisiken identifizieren und Bedrohungen eindämmen können.You can monitor compliance with them to help you identify potential vulnerabilities and mitigate threats. Weitere Informationen zur Ermittlung der Option, die für Sie geeignet ist, finden Sie in der Liste mit den integrierten Sicherheitsrichtlinien.For more information about how to determine the option that is appropriate for you, see the list of built-in security policies.

Wenn Sie Security Center aktivieren, wird die in Security Center integrierte Sicherheitsrichtlinie in Azure Policy als integrierte Initiative unter der Kategorie Security Center dargestellt.When you enable Security Center, the security policy built-in to Security Center is reflected in Azure Policy as a built-in initiative under the category Security Center. Die integrierte Initiative wird automatisch allen in Security Center registrierten Abonnements (Tarife „Free“ oder „Standard“) zugewiesen.The built-in initiative is automatically assigned to all Security Center registered subscriptions (Free or Standard tiers). Die integrierte Initiative enthält nur Überwachungsrichtlinien.The built-in initiative contains only Audit policies.

VerwaltungsgruppenManagement groups

Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich dar.Azure Management Groups provides a level of scope above subscriptions. Sie organisieren Abonnements in Containern, die als „Verwaltungsgruppen“ bezeichnet werden, und wenden Ihre Governancerichtlinien auf die Verwaltungsgruppen an.You organize subscriptions into containers called "management groups" and apply your governance policies to the management groups. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Richtlinien.All subscriptions within a management group automatically inherit the policies applied to the management group. Jedes Verzeichnis erhält eine einzelne Verwaltungsgruppe auf oberster Ebene, die als Stammverwaltungsgruppe (Root) bezeichnet wird.Each directory is given a single top-level management group called the "root" management group. Die Stammverwaltungsgruppe ist in die Hierarchie integriert, sodass ihr alle Verwaltungsgruppen und Abonnements untergeordnet sind.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Diese Stammverwaltungsgruppe ermöglicht das Anwenden von globalen Richtlinien und RBAC-Zuweisungen auf Verzeichnisebene.This root management group allows for global policies and RBAC assignments to be applied at the directory level. Befolgen Sie die Anleitung unter Erzielen der mandantenweiten Sichtbarkeit für Azure Security Center, um Verwaltungsgruppen für die Verwendung mit Azure Security Center einzurichten.To set up management groups for use with Azure Security Center, follow the instructions in Gain tenant-wide visibility for Azure Security Center.

Hinweis

Es ist wichtig, dass Sie die Hierarchie von Verwaltungsgruppen und Abonnements verstehen.It’s important that you understand the hierarchy of management groups and subscriptions. Weitere Informationen zu Verwaltungsgruppen, zur Stammveraltung und zum Zugriff auf Verwaltungsgruppen finden Sie unter Organisieren Ihrer Ressourcen mit Azure-Verwaltungsgruppen.See Organize your resources with Azure Management Groups to learn more about management groups, root management, and management group access.

Funktionsweise von SicherheitsrichtlinienHow security policies work

Security Center erstellt für jedes Ihrer Azure-Abonnements automatisch eine Standardsicherheitsrichtlinie.Security Center automatically creates a default security policy for each of your Azure subscriptions. Sie können die Richtlinien in Azure Policy bearbeiten, um Folgendes zu erreichen:You can edit the policies in Azure Policy to do the following things:

  • Erstellen von neuen RichtliniendefinitionenCreate new policy definitions.
  • Übergreifendes Zuweisen von Richtlinien für Verwaltungsgruppen und Abonnements, die für eine gesamte Organisation oder eine Geschäftseinheit innerhalb der Organisation stehen könnenAssign policies across management groups and subscriptions, which can represent an entire organization or a business unit within the organization.
  • Überwachen der RichtlinienkonformitätMonitor policy compliance.

Weitere Informationen zu Azure Policy finden Sie unter Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung.For more information about Azure Policy, see Create and manage policies to enforce compliance.

Eine Azure-Richtlinie umfasst die folgenden Komponenten:An Azure policy consists of the following components:

  • Eine Richtlinie ist eine Regel.A policy is a rule.
  • Eine Initiative ist eine Sammlung mit Richtlinien.An initiative is a collection of policies.
  • Eine Zuweisung ist die Anwendung einer Initiative oder Richtlinie auf einen bestimmten Bereich (Verwaltungsgruppe, Abonnement oder Ressourcengruppe).An assignment is the application of an initiative or a policy to a specific scope (management group, subscription, or resource group).

Anzeigen von SicherheitsrichtlinienView security policies

Zeigen Sie Ihre Sicherheitsrichtlinien in Security Center wie folgt an:To view your security policies in Security Center:

  1. Wählen Sie im Security Center-Dashboard die Option Sicherheitsrichtlinie.In the Security Center dashboard, select Security policy.

    Bereich „Richtlinienverwaltung“

    Auf dem Bildschirm Richtlinienverwaltung können Sie die Anzahl von Verwaltungsgruppen, Abonnements und Arbeitsbereichen sowie Ihre Verwaltungsgruppenstruktur anzeigen.In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

    Hinweis

    Im Security Center-Dashboard wird unter Abonnementabdeckung ggf. eine höhere Anzahl von Abonnements als unter Richtlinienverwaltung angezeigt.The Security Center dashboard may show a higher number of subscriptions under Subscription coverage than the number of subscriptions shown under Policy management. Unter der „Abonnementabdeckung“ wird die Anzahl von Abonnements vom Typ „Standard“, „Free“ und „Nicht abgedeckt“ angezeigt.Subscription coverage shows the number of Standard, Free, and “not covered” subscriptions. Für Abonnements vom Typ „Nicht abgedeckt“ ist Security Center nicht aktiviert, und sie werden unter Richtlinienverwaltung nicht angezeigt.The “not covered” subscriptions do not have Security Center enabled and are not displayed under Policy management.

  2. Wählen Sie das Abonnement oder die Verwaltungsgruppe aus, zu dem bzw. der Sie die Richtlinien anzeigen möchten.Select the subscription or management group whose policies you want to view.

    • Auf dem Bildschirm Sicherheitsrichtlinie wird die Aktion der Richtlinien widergespiegelt, die dem von Ihnen gewählten Abonnement oder der Verwaltungsgruppe zugewiesen sind.The Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.
    • Verwenden Sie oben die angegebenen Links, um die einzelnen Richtlinienzuweisungen zu öffnen, die für das Abonnement bzw. die Verwaltungsgruppe gelten.At the top, use the links provided to open each policy assignment that applies on the subscription or management group. Sie können die Links nutzen, um auf die Zuweisung zuzugreifen und die Richtlinie zu bearbeiten oder zu deaktivieren.You can use the links to access the assignment and edit or disable the policy. Wenn Sie beispielsweise feststellen, dass eine bestimmte Zuweisung den Endpunktschutz verhindert, können Sie über den Link auf die Richtlinie zugreifen und sie bearbeiten oder deaktivieren.For example, if you see that a particular policy assignment is effectively denying endpoint protection, you can use the link to access the policy and edit or disable it.
    • In der Liste mit den Richtlinien können Sie die aktive Anwendung der Richtlinie auf Ihr Abonnement oder die Verwaltungsgruppe anzeigen.In the list of policies, you can see the effective application of the policy on your subscription or management group. Dies bedeutet Folgendes: Die Einstellungen der einzelnen Richtlinien, die für den Bereich gelten, werden berücksichtigt, und für Sie wird das kumulierte Ergebnis dazu angegeben, welche Aktion von der Richtlinie durchgeführt wird.This means that the settings of each policy that apply to the scope are taken into consideration and you are provided with the cumulative outcome of what action is taken by the policy. Wenn die Richtlinie beispielsweise in einer Zuweisung deaktiviert wird, aber in einer anderen auf „AuditIfNotExist“ festgelegt ist, wird aufgrund der Kumulation „AuditIfNotExist“ angewendet.For example, if in one assignment the policy is disabled, but in another it is set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. Die aktivere Auswirkung hat immer Vorrang.The more active effect always takes precedence.
    • Für die Richtlinien können sich die folgenden Auswirkungen ergeben: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled.The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. Weitere Informationen zur Anwendung von Auswirkungen finden Sie unter Grundlegendes zu Richtlinienauswirkungen.For more information on how effects are applied, see Understand Policy effects.

    Bildschirm mit Richtlinien

Hinweis

Beim Anzeigen von zugewiesenen Richtlinien können Sie mehrere Zuweisungen sehen und die jeweilige Konfiguration der Zuweisungen auch einzeln prüfen.When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

Bearbeiten von SicherheitsrichtlinienEdit security policies

Sie können die Standardsicherheitsrichtlinie für jedes Ihrer Azure-Abonnements und jede Verwaltungsgruppe in Azure Policy bearbeiten.You can edit the default security policy for each of your Azure subscriptions and management groups in Azure Policy. Eine Sicherheitsrichtlinie kann nur von einem Besitzer oder Sicherheitsadministrator des Abonnements oder der enthaltenden Verwaltungsgruppe geändert werden.To modify a security policy, you must be an owner, or security administrator, of the subscription or the containing management group.

Eine Anleitung zur Bearbeitung einer Sicherheitsrichtlinie in Azure Policy finden Sie unter Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung.For instructions on how to edit a security policy in Azure Policy, see and Create and manage policies to enforce compliance.

Sie können Sicherheitsrichtlinien über das Azure Policy-Portal, über die REST-API oder über Windows PowerShell bearbeiten.You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell. Das folgende Beispiel enthält Anweisungen zum Bearbeiten über die REST-API.The following example provides instructions for editing using REST API.

Deaktivieren von SicherheitsrichtlinienDisable security policies

Wenn die Standardsicherheitsrichtlinie eine Empfehlung generiert, die für Ihre Umgebung nicht relevant ist, können Sie dies beenden, indem Sie die Richtliniendefinition deaktivieren, die die Empfehlung sendet.If the default security policy is generating a recommendation that is not relevant for your environment, you can stop it by disabling the policy definition that sends the recommendation. Weitere Informationen zu Empfehlungen finden Sie unter Verwalten von Sicherheitsempfehlungen.For further information about recommendations, see Managing security recommendations.

  1. Klicken Sie im Security Center im Abschnitt Richtlinie und Konformität auf Sicherheitsrichtlinie.In the Security Center, from the Policy & Compliance section, click Security policy.

    Richtlinienverwaltung

  2. Klicken Sie auf das Abonnement, für das Sie die Empfehlung deaktivieren möchten.Click the subscription or management group for which you want to disable the recommendation.

    Hinweis

    Denken Sie daran, dass eine Verwaltungsgruppe ihre Richtlinien auf ihre Abonnements anwendet.Remember that a management group applies its policies to its subscriptions. Aus diesem Grund erhalten Sie weiterhin Richtlinienempfehlungen, wenn Sie eine Abonnementrichtlinie deaktivieren und das Abonnement zu einer Verwaltungsgruppe gehört, die immer noch dieselbe Richtlinie verwendet.Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. Die Richtlinie wird immer noch von der Verwaltungsebene aus angewandt, und die Empfehlungen werden immer noch generiert.The policy will still be applied from the management level and the recommendations will still be generated.

  3. Klicken Sie auf die zugewiesene Richtlinie.Click the assigned policy.

    Richtlinie deaktivieren

  4. Suchen Sie im Abschnitt PARAMETER die Richtlinie, die die zu deaktivierende Empfehlung aufruft, und wählen Sie in der Dropdownliste die Option Deaktiviert aus.In the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    Richtlinie deaktivieren

  5. Klicken Sie auf Speichern.Click Save.

    Hinweis

    Es kann bis zu 12 Stunden dauern, bis die Änderungen zum Deaktivieren der Richtlinie wirksam werden.The disable policy changes can take up to 12 hours to take effect.

Konfigurieren einer Sicherheitsrichtlinie über die REST-APIConfigure a security policy using the REST API

Als Teil der nativen Integration in Azure Policy ermöglicht Ihnen Azure Security Center die Nutzung der REST-API von Azure Policy, um Richtlinienzuweisungen zu erstellen.As part of the native integration with Azure Policy, Azure Security Center enables you to take advantage Azure Policy’s REST API to create policy assignments. Die folgenden Anweisungen führen Sie durch das Erstellen von Richtlinienzuweisungen sowie durch das Anpassen vorhandener Zuweisungen.The following instructions walk you through creation of policy assignments, as well as customization of existing assignments.

Wichtige Konzepte in Azure Policy:Important concepts in Azure Policy:

  • Eine Richtliniendefinition ist eine Regel.A policy definition is a rule

  • EineInitiative ist eine Sammlung von Richtliniendefinitionen (Regeln).An initiative is a collection of policy definitions (rules)

  • EineZuweisung ist eine Anwendung einer Initiative oder Richtlinie für einen bestimmten Bereich (Verwaltungsgruppe, Abonnement usw.).An assignment is an application of an initiative or a policy to a specific scope (management group, subscription, etc.)

Security Center hat eine integrierte Initiative, die alle seiner Sicherheitsrichtlinien enthält.Security Center has a built-in initiative that includes all of its security policies. Um die Richtlinien von Security Center für Ihre Azure-Ressourcen zu bewerten, sollten Sie eine Zuweisung zur Verwaltungsgruppe oder zum Abonnement erstellen, die oder das Sie bewerten möchten.In order to assess Security Center’s policies on your Azure resources, you should create an assignment on the management group, or subscription you want to assess.

In der integrierten Initiative sind alle Richtlinien von Security Center standardmäßig aktiviert.The built-in initiative has all of Security Center’s policies enabled by default. Sie können bestimmte Richtlinien in der integrierten Initiative deaktivieren, z. B. können Sie alle Security Center-Richtlinien außer Webanwendungsfirewall anwenden, indem Sie den Wert des Effect-Parameters der Richtlinie in Disabled ändern.You can choose to disable certain policies from the built-in initiative, for example you can apply all of Security Center’s policies except web application firewall, by changing the value of the policy’s effect parameter to Disabled.

API-BeispieleAPI examples

Ersetzen Sie diese Variablen in den folgenden Beispielen:In the following examples, replace these variables:

  • Geben Sie für {scope} den Namen der Verwaltungsgruppe oder des Abonnements ein, auf die oder das Sie die Richtlinie anwenden.{scope} enter the name of the management group or subscription you are applying the policy to.
  • Geben Sie für {policyAssignmentName} den Namen der relevanten Richtlinienzuweisung ein.{policyAssignmentName} enter the name of the relevant policy assignment.
  • Geben Sie für {name} Ihren Namen oder den Namen des Administrators ein, der die Richtlinienänderung genehmigt hat.{name} enter your name, or the name of the administrator who approved the policy change.

In diesem Beispiel wird gezeigt, wie Sie die integrierte Security Center-Initiative einem Abonnement oder einer Verwaltungsgruppe zuweisen:This example shows you how to assign the built-in Security Center initiative on a subscription or management group

   PUT  
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Azure Security Center", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{}, 

   } 

   } 

In diesem Beispiel wird gezeigt, wie Sie die integrierte Security Center-Initiative einem Abonnement zuweisen, wobei die folgenden Richtlinien deaktiviert sind:This example shows you how to assign the built-in Security Center initiative on a subscription, with the following policies disabled:

  • Systemupdates („systemUpdatesMonitoringEffect“)System updates (“systemUpdatesMonitoringEffect”)

  • Sicherheitskonfigurationen („systemConfigurationsMonitoringEffect“)Security configurations ("systemConfigurationsMonitoringEffect")

  • Endpunktschutz (Endpoint Protection) („endpointProtectionMonitoringEffect“)Endpoint protection ("endpointProtectionMonitoringEffect")

   PUT https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 
   
   Request Body (JSON) 
   
   { 
   
     "properties":{ 
   
   "displayName":"Enable Monitoring in Azure Security Center", 
   
   "metadata":{ 
   
   "assignedBy":"{Name}" 
   
   }, 
   
   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 
   
   "parameters":{ 
   
   "systemUpdatesMonitoringEffect":{"value":"Disabled"}, 
   
   "systemConfigurationsMonitoringEffect":{"value":"Disabled"}, 
   
   "endpointProtectionMonitoringEffect":{"value":"Disabled"}, 
   
   }, 
   
    } 
   
   } 

In diesem Beispiel wird gezeigt, wie Sie eine Zuweisung entfernt wird:This example shows you how to remove an assignment:

   DELETE   
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

Referenz der Richtliniennamen Policy names reference

Richtlinienname in Security CenterPolicy name in Security Center Richtlinienname, der in Azure Policy angezeigt wirdPolicy name displayed in Azure Policy Name des Effect-Parameters der RichtliniePolicy effect parameter name
SQL-VerschlüsselungSQL Encryption Nicht verschlüsselte SQL-Datenbank in Azure Security Center überwachenMonitor unencrypted SQL database in Azure Security Center sqlEncryptionMonitoringEffectsqlEncryptionMonitoringEffect
SQL-ÜberwachungSQL Auditing Nicht überwachte SQL-Datenbank in Azure Security Center überwachenMonitor unaudited SQL database in Azure Security Center sqlAuditingMonitoringEffectsqlAuditingMonitoringEffect
SystemupdatesSystem updates Fehlende Systemupdates in Azure Security Center überwachenMonitor missing system updates in Azure Security Center systemUpdatesMonitoringEffectsystemUpdatesMonitoringEffect
SpeicherverschlüsselungStorage encryption Fehlende Blobverschlüsselung für Speicherkonten überwachenAudit missing blob encryption for storage accounts storageEncryptionMonitoringEffectstorageEncryptionMonitoringEffect
JIT-NetzwerkzugriffJIT Network access Möglichen Just-In-Time-Netzwerkzugriff in Azure Security Center überwachenMonitor possible network Just In Time (JIT) access in Azure Security Center jitNetworkAccessMonitoringEffectjitNetworkAccessMonitoringEffect
Adaptive AnwendungssteuerungenAdaptive application controls Mögliche App-Whitelist in Azure Security Center überwachenMonitor possible app Whitelisting in Azure Security Center adaptiveApplicationControlsMonitoringEffectadaptiveApplicationControlsMonitoringEffect
NetzwerksicherheitsgruppenNetwork security groups Zu wenig einschränkenden Netzwerkzugriff in Azure Security Center überwachenMonitor permissive network access in Azure Security Center networkSecurityGroupsMonitoringEffectnetworkSecurityGroupsMonitoringEffect
SicherheitskonfigurationenSecurity configurations Betriebssystem-Sicherheitsrisiken in Azure Security Center überwachenMonitor OS vulnerabilities in Azure Security Center systemConfigurationsMonitoringEffectsystemConfigurationsMonitoringEffect
Endpoint ProtectionEndpoint protection Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachenMonitor missing Endpoint Protection in Azure Security Center endpointProtectionMonitoringEffectendpointProtectionMonitoringEffect
DatenträgerverschlüsselungDisk encryption Nicht verschlüsselte VM-Datenträger in Azure Security Center überwachenMonitor unencrypted VM Disks in Azure Security Center diskEncryptionMonitoringEffectdiskEncryptionMonitoringEffect
SicherheitsrisikobewertungVulnerability assessment VM-Sicherheitsrisiken in Azure Security Center überwachenMonitor VM Vulnerabilities in Azure Security Center vulnerabilityAssessmentMonitoringEffectvulnerabilityAssessmentMonitoringEffect
Web Application FirewallWeb application firewall Nicht geschützte Webanwendung in Azure Security Center überwachenMonitor unprotected web application in Azure Security Center webApplicationFirewallMonitoringEffectwebApplicationFirewallMonitoringEffect
Firewall der nächsten GenerationNext generation firewall Nicht geschützte Netzwerkendpunkte in Azure Security Center überwachenMonitor unprotected network endpoints in Azure Security Center

Wer kann Sicherheitsrichtlinien bearbeiten?Who can edit security policies?

Security Center verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Dabei werden integrierte Rollen bereitgestellt, die Benutzern, Gruppen und Diensten in Azure zugewiesen werden können.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. In Security Center werden den Benutzern nur Informationen zu den Ressourcen angezeigt, auf die sie Zugriff haben.When users open Security Center, they see only information that's related to resources they have access to. Das bedeutet, dass Benutzern die Rolle „Besitzer“, „Mitwirkender“ oder „Leser“ für das Abonnement oder die Ressourcengruppe einer Ressource zugewiesen wird.Which means that users are assigned the role of owner, contributor, or reader to the subscription or resource group that a resource belongs to. Neben diesen Rollen gibt es zwei spezifische Security Center-Rollen:In addition to these roles, there are two specific Security Center roles:

  • Sicherheitsleseberechtigter: Kann Informationen in Security Center (wie etwa Empfehlungen, Warnungen, Richtlinien und die Integrität) anzeigen, aber keine Änderungen vornehmen.Security reader: Have view rights to Security Center, which includes recommendations, alerts, policy, and health, but they can't make changes.
  • Sicherheitsadministrator: Verfügt über dieselben Anzeigeberechtigungen wie ein Sicherheitsleseberechtigter, ist zusätzlich aber auch zum Aktualisieren der Sicherheitsrichtlinie und zum Verwerfen von Empfehlungen und Warnungen berechtigt.Security admin: Have the same view rights as security reader, and they can also update the security policy and dismiss recommendations and alerts.

Nächste SchritteNext steps

In diesem Artikel haben Sie erfahren, wie Sicherheitsrichtlinien in Azure Policy bearbeitet werden.In this article, you learned how to edit security policies in Azure Policy. Weitere Informationen zu Security Center finden Sie in den folgenden Artikeln:To learn more about Security Center, see the following articles:

Weitere Informationen zu Azure Policy finden Sie unter Was ist Azure Policy?.To learn more about Azure Policy, see What is Azure Policy?