Définitions intégrées d’Azure Policy pour Sauvegarde Azure
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Sauvegarde Azure. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Sauvegarde Azure
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les coffres Azure Recovery Services doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le coffre Recovery Services ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition du coffre Recovery Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. | Audit, Désactivé | 2.0.0-preview |
| [Préversion] : Sauvegarde et Site Recovery doivent être redondants interzone | Sauvegarde et Site Recovery peuvent être configurés pour être redondants interzone ou non. Sauvegarde et Site Recovery sont redondants interzone si la propriété 'standardTierStorageRedundancy' est définie sur 'ZoneRedundant'. L’application de cette stratégie vous permet de vérifier que Sauvegarde et Site Recovery sont configurés de manière appropriée pour la résilience à la zone, ce qui réduit le risque de temps d’arrêt pendant les pannes de zone. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les coffres Recovery Services Azure pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public de votre coffre Recovery Services pour qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PublicNetworkAccess-Deny. | Modifier, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des points de terminaison privés sur des coffres Azure Recovery Services | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés aux ressources de récupération de site des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Pour utiliser des liaisons privées, vous devez affecter l’identité MSI (Managed Service Identity) aux coffres Recovery Services. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des coffres Recovery Services afin d’utiliser des points de terminaison privés pour la sauvegarde | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Notez que vos coffres doivent répondre à certaines conditions préalables pour être éligibles pour une configuration de point de terminaison privé. Plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : désactiver la restauration inter-abonnements pour des coffres Recovery Services Azure | Désactivez de façon temporaire ou permanente la restauration inter-abonnements pour votre coffre Recovery Services pour éviter que les cibles de restauration ne se trouvent dans un abonnement différent de celui du coffre. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/csrenhancements. | Modifier, Désactivé | 1.1.0-preview |
| [Préversion] : n’autorisez pas la création de coffres Recovery Services de redondance de stockage choisie. | Les coffres Recovery Services peuvent aujourd’hui être créés avec l’une des trois options de redondance de stockage, à savoir le stockage localement redondant, le stockage redondant interzone et le stockage géoredondant. Si les stratégies de votre organisation vous obligent à bloquer la création de coffres appartenant à un certain type de redondance, vous pouvez réaliser la même chose à l’aide de cette stratégie Azure. | Deny, Disabled | 1.0.0-preview |
| [Aperçu] : l'immuabilité doit être activée pour les coffres Recovery Services | Cette stratégie vérifie si la propriété de coffres immuables est activée pour les coffres Recovery Services dans l'étendue. Cela permet de protéger vos données de sauvegarde contre la suppression avant leur expiration prévue. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-ImmutableVaults. | Audit, Désactivé | 1.0.1-preview |
| [Préversion] : L’autorisation multi-utilisateur (MUA) doit être activée pour les Coffres Recovery Services. | Cette stratégie vérifie si l’autorisation multi-utilisateur est activée pour les Coffres Recovery Services. L’autorisation multi-utilisateur contribue à sécuriser vos Coffres Recovery Services en ajoutant une couche supplémentaire de protection aux opérations critiques. Pour plus d'informations, consultez https://aka.ms/MUAforRSV. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : Les coffres Recovery Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. Découvrez plus en détail les liaisons privées pour Azure Site Recovery sur https://aka.ms/HybridScenarios-PrivateLink et https://aka.ms/AzureToAzure-PrivateLink. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : la suppression réversible doit être activée pour les coffres Recovery Services. | Cette stratégie vérifie si la suppression réversible est activée pour les coffres Recovery Services dans l’étendue. La suppression réversible vous permet de récupérer vos données même après leur suppression. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-SoftDelete. | Audit, Désactivé | 1.0.0-preview |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Déployez les paramètres de diagnostic du coffre Recovery Services sur l’espace de travail Log Analytics pour les catégories propres à une ressource. | Déployez les paramètres de diagnostic du coffre Recovery Services afin de les envoyer vers l’espace de travail Log Analytics pour les catégories propres à une ressource. Si l’une des catégories propres à la ressource n’est pas activée, un nouveau paramètre de diagnostic est créé. | deployIfNotExists | 1.0.2 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.