Définitions d’initiative Azure Policy intégrées
Cette page est un index de définitions d’initiative intégrées Azure Policy.
Le lien associé au nom de chaque définition intégrée mène à la source de définition de l’initiative dans le dépôt GitHub Azure Policy. Les définitions intégrées sont regroupées par la propriété category dans metadata. Pour accéder à une catégorie spécifique, utilisez Ctrl-F pour la fonction de recherche de votre navigateur.
Automanage
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Auditer la configuration par rapport aux meilleures pratiques d’Automanage | Les meilleures pratiques Automanage Machine garantissent que les ressources managées sont configurées conformément à l’état souhaité, tel que défini dans le profil de configuration attribué. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Activer ChangeTracking et Inventory pour les machines virtuelles compatibles avec Arc | Activer l’inventaire et le suivi des modifications pour les machines virtuelles compatibles avec Arc. Prend l’ID de règle de collecte de données en tant que paramètre et demande une option permettant d’entrer les emplacements applicables. | 6 | 1.0.0-preview |
| [Préversion] : Activer ChangeTracking et Inventory pour les groupes de machines virtuelles identiques | Activer l’inventaire et le suivi des modifications pour les groupes de machines virtuelles identiques. Prend l’ID de règle de collecte de données en tant que paramètre et demande une option permettant d’entrer les emplacements applicables et l’identité affectée par l’utilisateur pour l’agent Azure Monitor. | 7 | 1.0.0-preview |
| [Préversion] : Activer ChangeTracking et Inventory pour les machines virtuelles | Activer l’inventaire et le suivi des modifications pour les machines virtuelles. Prend l’ID de règle de collecte de données en tant que paramètre et demande une option permettant d’entrer les emplacements applicables et l’identité affectée par l’utilisateur pour l’agent Azure Monitor. | 7 | 1.0.0-preview |
Cosmos DB
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Activer le débit d’Azure Cosmos DB | Activez le contrôle de débit pour les ressources Azure Cosmos DB dans l’étendue spécifiée (groupe d’administration, abonnement ou groupe de ressources). Utilise le débit maximal comme paramètre. Utilisez cette stratégie pour contribuer à l’application du contrôle du débit par le biais du fournisseur de ressources. | 2 | 1.0.0 |
Général
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Autoriser les ressources de coût d’utilisation | Autoriser le déploiement des ressources à l’exception de MCPP, M365. | 2 | 1.0.0 |
Guest Configuration
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Déployer des prérequis pour activer des stratégies Guest Configuration sur des machines virtuelles à l’aide d’une identité managée affectée par l’utilisateur | Cette initiative ajoute une identité managée affectée par l’utilisateur et déploie l’extension Guest Configuration appropriée à la plateforme sur les machines virtuelles pouvant être supervisées par des stratégies Guest Configuration. Il s’agit d’un prérequis pour toutes les stratégies Guest Configuration, et il doit être affecté à l’étendue d’attribution des stratégies avant l’utilisation d’une stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | 3 | 1.0.0-preview |
| [Préversion] : Les machines Windows doivent répondre aux exigences de la base de référence de la sécurité d’Azure Compute | Cette initiative audite les machines Windows dont les paramètres ne correspondent pas à la base de référence de sécurité pour Azure Compute. Pour plus d’informations, consultez https://aka.ms/gcpol. | 29 | 2.0.1-preview |
| Auditer les machines avec des paramètres de sécurité de mot de passe non sécurisés | Cette initiative permet de déployer les exigences de stratégie et d’auditer les machines avec des paramètres de sécurité de mot de passe non sécurisés. Pour plus d’informations sur les stratégies Guest Configuration, visitez https://aka.ms/gcpol | 9 | 1.1.0 |
| Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des machines Windows (y compris les prérequis) | Crée une attribution Configuration invité (y compris les prérequis) pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur une machine Windows. Pour plus d’informations, consultez https://aka.ms/SetSecureProtocol | 3 | 1.0.0 |
| Déployer les prérequis pour activer les stratégies Guest Configuration sur les machines virtuelles | Cette initiative ajoute une identité managée affectée par le système, et déploie l’extension Guest Configuration appropriée à la plateforme sur les machines virtuelles pouvant être supervisées par des stratégies Guest Configuration. Il s’agit d’un prérequis pour toutes les stratégies Guest Configuration, et il doit être affecté à l’étendue d’attribution des stratégies avant l’utilisation d’une stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Utiliser l’intégrité des images pour garantir que seules des images approuvées sont déployées | Utilisez Image Integrity pour garantir que les clusters AKS déploient uniquement des images fiables en activant les modules complémentaires Image Integrity et Azure Policy sur les clusters AKS. Image Integrity Add-On et Azure Policy Add-On sont tous deux des conditions préalables à l’utilisation d’Image Integrity pour vérifier si l’image est signée lors du déploiement. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Préversion] : Les mesures de sécurité de déploiement doivent aider les développeurs à suivre les meilleures pratiques recommandées par AKS | Un ensemble de bonnes pratiques Kubernetes recommandées par Azure Kubernetes Service (AKS). Pour une expérience optimale, utilisez les mesures de sécurité de déploiement pour attribuer cette initiative de stratégie : https://aka.ms/aks/deployment-safeguards. Le module complémentaire Azure Policy pour AKS est un prérequis pour appliquer ces meilleures pratiques à vos clusters. Pour obtenir des instructions sur l’activation du module complémentaire Azure Policy, accédez à aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Normes de référence liées à la sécurité du pod de cluster Kubernetes pour les charges de travail basées sur Linux | Cette initiative comprend les stratégies pour les normes de référence liées à la sécurité du pod de cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Normes restreintes liées à la sécurité du pod de cluster Kubernetes pour les charges de travail basées sur Linux | Cette initiative comprend les stratégies pour les normes restreintes liées à la sécurité du pod de cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Identité managée
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : les informations d’identification fédérées de l’identité managée doivent être de types approuvés par des sources approuvées de fédération | Contrôler l’utilisation des informations d’identification fédérées pour les identités managées. Cette initiative inclut des stratégies pour bloquer les informations d’identification d’identité fédérées, pour limiter l’utilisation à des types de fournisseurs de fédération spécifiques et pour limiter les relations des fédérations aux sources approuvées. | 3 | 1.0.0-preview |
Surveillance
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Configurer les agents Azure Defender pour SQL sur les machines virtuelles | Configurez les machines virtuelles pour qu’elles installent automatiquement les agents Azure Defender pour SQL quand l’agent Azure Monitor est installé. Security Center collecte les événements provenant des agents, et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. Cette stratégie s’applique uniquement aux machines virtuelles de certaines régions. | 2 | 1.0.0-preview |
| Configurer des machines Linux pour exécuter Azure Monitor Agent et les associer à une règle de collecte de données | Supervisez et sécurisez vos machines virtuelles Linux, vos groupes de machines virtuelles identiques et vos machines avec Arc en déployant l’extension Azure Monitor Agent et en associant les machines à une règle de collecte de données spécifiée. Le déploiement se produit sur les machines dotées d’images de système d’exploitation prises en charge (ou les machines correspondant à la liste d’images fournie) dans les régions prises en charge. | 4 | 3.2.0 |
| Configurer des ordinateurs Windows pour exécuter Azure Monitor Agent et les associer à une règle de collecte de données | Supervisez et sécurisez vos machines virtuelles Windows, vos groupes de machines virtuelles identiques et vos machines avec Arc en déployant l’extension Azure Monitor Agent et en associant les machines à une règle de collecte de données spécifiée. Le déploiement se produit sur les machines dotées d’images de système d’exploitation prises en charge (ou les machines correspondant à la liste d’images fournie) dans les régions prises en charge. | 4 | 3.2.0 |
| Déployer Linux Azure Monitor Agent avec l’authentification basée sur l’identité managée affectée par l’utilisateur et l’associer à la règle de collecte de données | Supervisez vos machines virtuelles Linux et vos groupes de machines virtuelles identiques en déployant l’extension Azure Monitor Agent avec une authentification d’identité managée affectée par l'utilisateur et en associant les machines à la règle de collecte de données spécifiée. Le déploiement de l’agent Azure Monitor se produit sur les machines dotées d’images de système d’exploitation prises en charge (ou les machines correspondant à la liste d’images fournie) dans les régions prises en charge. | 5 | 2.3.0 |
| Déployer Windows Azure Monitor Agent avec l’authentification basée sur l’identité managée affectée par l’utilisateur et l’associer à la règle de collecte de données | Supervisez vos machines virtuelles Windows et vos groupes de machines virtuelles identiques en déployant l’extension Azure Monitor Agent avec une authentification d’identité managée affectée par l'utilisateur et en associant les machines à la règle de collecte de données spécifiée. Le déploiement de l’agent Azure Monitor se produit sur les machines dotées d’images de système d’exploitation prises en charge (ou les machines correspondant à la liste d’images fournie) dans les régions prises en charge. | 5 | 2.3.0 |
| Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette initiative déploie un paramètre de diagnostic à l’aide du groupe de catégories d’audit pour acheminer des journaux vers Event Hub pour toutes les ressources prises en charge | 33 | 1.0.0 |
| Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette initiative déploie un paramètre de diagnostic à l’aide du groupe de catégories d’audit pour acheminer des journaux vers Log Analytics pour toutes les ressources prises en charge. | 33 | 1.0.0 |
| Activer la journalisation des ressources de groupe de catégorie d’audit pour les ressources prises en charge vers le stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette initiative déploie un paramètre de diagnostic à l’aide du groupe de catégories d’audit pour acheminer des journaux vers le stockage pour toutes les ressources prises en charge. | 33 | 1.0.0 |
| Activer les Azure Monitor pour les machines virtuelles hybrides avec l’AMA | Activez Azure Monitor pour les machines virtuelles hybrides avec AMA. | 6 | 1.0.0 |
| Activer Azure Monitor pour machines virtuelles avec Azure Monitoring Agent (AMA) | Activez Azure Monitor pour les machines virtuelles avec AMA. | 7 | 1.0.0 |
| Activer Azure Monitor pour VMSS avec Azure Monitoring Agent(AMA) | Activez Azure Monitor pour le groupe de machines virtuelles identiques (VMSS) avec AMA. | 7 | 1.0.0 |
| Hérité – Activer Microsoft Azure Virtual Machine Scale Sets | Hérité - Activez Azure Monitor pour les groupes de machines virtuelles identiques dans l’étendue spécifiée (groupe d’administration, abonnement ou groupe de ressources). Utilise l’espace de travail Log Analytics comme paramètre. Utilisez la nouvelle initiative nommée : Activer Azure Monitor pour VMSS avec Azure Monitoring Agent (AMA). Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | 6 | 1.0.2 |
| Hérité – Activer Azure Monitor pour machines virtuelles | Hérité - Activez Azure Monitor pour les machines virtuelles dans l’étendue spécifiée (groupe d’administration, abonnement ou groupe de ressources). Utilise l’espace de travail Log Analytics comme paramètre. Utilisez la nouvelle initiative nommée : Activer Azure Monitor pour machines virtuelles avec Azure Monitoring Agent (AMA) | 10 | 2.0.1 |
Réseau
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Les journaux de flux doivent être configurés et activés pour chaque groupe de sécurité réseau | Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés et si leur état est activé. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. | 2 | 1.0.0 |
Conformité réglementaire
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Australian Government ISM PROTECTED | Cette initiative comprend des stratégies qui répondent à une partie des contrôles Australian Government Information Security Manual (ISM). Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [Préversion] : CMMC 2.0 Niveau 2 | Cette initiative comprend des stratégies qui traitent d’un sous-ensemble de pratiques CMMC 2.0 Niveau 2. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-preview |
| [Préversion] : Motion Picture Association of America (MPAA) | Cette initiative comprend des stratégies d’audit et de déploiement d’extension de machine virtuelle répondant à une partie des contrôles de sécurité et de recommandations de la MPAA (Motion Picture Association of America). Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/mpaa-init. | 36 | 4.1.0-preview |
| [Préversion] : Reserve Bank of India - Infrastructure informatique pour les banques | Cette initiative comprend des stratégies qui traitent d’un sous-ensemble des contrôles de l’infrastructure informatique pour les banques de la Reserve Bank of India. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Préversion] : Reserve Bank of India - Infrastructure informatique pour NBFC | Cette initiative comprend des politiques qui traitent d’un sous-ensemble des contrôles de la Banque de réserve de l’Inde pour les sociétés financières non bancaires (NBFC). Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Préversion] : Ligne de base de souveraineté – Stratégies confidentielles | Microsoft Cloud for Sovereignty recommande des stratégies confidentielles pour aider les organisations à atteindre leurs objectifs de souveraineté en refusant par défaut la création de ressources en dehors des régions approuvées, les ressources qui ne sont pas prises en charge par l’informatique confidentielle Azure ainsi que les ressources de stockage de données qui n’utilisent pas de clés gérées par le client. Vous trouverez plus d’informations ici : https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [Préversion] : Ligne de base de souveraineté – Stratégies globales | Microsoft Cloud for Sovereignty recommande des stratégies globales pour aider les organisations à atteindre leurs objectifs de souveraineté en refusant par défaut la création de ressources en dehors des régions approuvées. Vous trouverez plus d’informations ici : https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [Préversion] : SWIFT CSP-CSCF v2020 | Cette initiative inclut des stratégies d’audit et de déploiement d’extension de machine virtuelle répondant à une partie des contrôles SWIFT CSP-CSCF v2020. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/swift2020-init. | 59 | 6.1.0-preview |
| [Préversion] : SWIFT CSP-CSCF v2021 | Cette initiative inclut des stratégies qui traitent d’un sous-ensemble de contrôles de sécurité client du programme de sécurité client SWIFT v2021 Controls Framework. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| ACAT pour la certification Microsoft 365 | L’outil d’automatisation de la conformité des applications pour Microsoft 365 (ACAT) simplifie le processus pour obtenir la certification Microsoft 365. Consultez https://aka.ms/acat. Cette certification garantit que les applications ont des pratiques de sécurité et de conformité fortes en place pour protéger les données, la sécurité et la confidentialité du client. Cette initiative comprend des stratégies répondant à une partie des contrôles de certification Microsoft 365. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. | 24 | 1.0.0 |
| PBMM fédéral du Canada | Cette initiative comprend des stratégies répondant à une partie des contrôles Canada Federal PBMM. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | Le Center for Internet Security (CIS) est une entité à but non lucratif dont la mission est d'« identifier, développer, valider, promouvoir et maintenir des solutions de meilleures pratiques pour la cyberdéfense ». Les points de référence CIS sont des bases de référence de configuration et des meilleures pratiques pour configurer un système en toute sécurité. Ces stratégies traitent d’un sous-ensemble de contrôles CIS Microsoft Azure Foundations Benchmark v1.1.0. Pour plus d’informations, visitez https://aka.ms/cisazure110-initiative. | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Le Center for Internet Security (CIS) est une entité à but non lucratif dont la mission est d'« identifier, développer, valider, promouvoir et maintenir des solutions de meilleures pratiques pour la cyberdéfense ». Les points de référence CIS sont des bases de référence de configuration et des meilleures pratiques pour configurer un système en toute sécurité. Ces stratégies traitent d’un sous-ensemble de contrôles CIS Microsoft Azure Foundations Benchmark v1.3.0. Pour plus d’informations, visitez https://aka.ms/cisazure130-initiative. | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Le Center for Internet Security (CIS) est une entité à but non lucratif dont la mission est d'« identifier, développer, valider, promouvoir et maintenir des solutions de meilleures pratiques pour la cyberdéfense ». Les points de référence CIS sont des bases de référence de configuration et des meilleures pratiques pour configurer un système en toute sécurité. Ces stratégies traitent d’un sous-ensemble de contrôles CIS Microsoft Azure Foundations Benchmark v1.4.0. Pour plus d’informations, visitez https://aka.ms/cisazure140-initiative. | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Le Center for Internet Security (CIS) est une entité à but non lucratif dont la mission est d'« identifier, développer, valider, promouvoir et maintenir des solutions de meilleures pratiques pour la cyberdéfense ». Les points de référence CIS sont des bases de référence de configuration et des meilleures pratiques pour configurer un système en toute sécurité. Ces stratégies traitent un sous-ensemble de contrôles CIS Microsoft Azure Foundations Benchmark v2.0.0. Pour plus d’informations, visitez https://aka.ms/cisazure200-initiative. | 211 | 1.1.0 |
| CMMC niveau 3 | Cette initiative implique des stratégies qui répondent à un sous-ensemble de spécifications CMMC de niveau 3. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| FedRAMP High | Le FedRAMP est un programme déployé à l’échelle de l’administration américaine, visant à rationaliser l’approche en matière d’évaluation de la sécurité, d’autorisation et de monitoring continu des services et produits cloud. Le FedRAMP définit un ensemble de contrôles pour les systèmes à impact faible, modéré ou élevé sur la base des contrôles de référence NIST. Ces stratégies s’adressent à un sous-ensemble de contrôles FedRAMP (élevés). Pour plus d’informations, visitez https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp. | 732 | 17.11.0 |
| FedRAMP Moderate | Le FedRAMP est un programme déployé à l’échelle de l’administration américaine, visant à rationaliser l’approche en matière d’évaluation de la sécurité, d’autorisation et de monitoring continu des services et produits cloud. Le FedRAMP définit un ensemble de contrôles pour les systèmes à impact faible, modéré ou élevé sur la base des contrôles de référence NIST. Ces stratégies s’adressent à un sous-ensemble de contrôles FedRAMP (modérés). Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, visitez https://www.fedramp.gov/documents-templates/. | 663 | 17.10.0 |
| HITRUST/HIPAA | Le HITRUST (Health Information Trust Alliance) aide les organisations de tous les secteurs, et plus particulièrement la santé, à gérer efficacement les données, les risques liés à l’information et la conformité. La certification HITRUST signifie que l’organisation a vu son programme de sécurité des informations faire l’objet d’une évaluation approfondie. Ces stratégies concernent un sous-ensemble de contrôles HITRUST. Pour plus d’informations, visitez https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2. | 610 | 14.3.0 |
| IRS1075 Septembre 2016 | Cette initiative comprend des stratégies répondant à une partie des contrôles IRS1075 septembre 2016. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | La norme ISO 27001 de l’Organisation internationale de normalisation (ISO) établit des exigences concernant l’établissement, l’implémentation, la maintenance et l’amélioration continue d’un système de gestion de la sécurité de l’information (ISMS). Ces stratégies concernent un sous-ensemble de contrôles ISO 27001:2013. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, visitez https://aka.ms/iso27001-init. | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | Aux États-Unis, le National Institute of Standards and Technology (NIST) promeut et maintient des normes et des lignes directrices de mesure pour aider à protéger les systèmes d’information et d’information des agences fédérales. En réponse au décret exécutif 13556 sur la gestion des informations non classifiées contrôlées (CUI), il a publié le NIST SP 800-171. Ces stratégies concernent un sous-ensemble de contrôles NIST SP 800-171 Rev. 2. Pour plus d’informations, visitez https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171. | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | Le NIST SP 800-53 R4 fournit une approche standardisée pour l’évaluation, le monitoring et l’autorisation des produits et services de cloud computing en vue de gérer les risques liés à la sécurité de l’information. Ces stratégies concernent un sous-ensemble de contrôles NIST SP 800-53 R4. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, visitez https://aka.ms/nist800-53r4-initiative. | 733 | 17.10.0 |
| NIST SP 800-53 Rév. 5 | Le NIST SP 800-53 Rev. 5 fournit une approche standardisée pour l’évaluation, le monitoring et l’autorisation des produits et services de cloud computing en vue de gérer les risques liés à la sécurité de l’information. Ces stratégies concernent un sous-ensemble de contrôles NIST SP 800-53 R5. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, visitez https://aka.ms/nist800-53r5-initiative. | 718 | 14.10.0 |
| Thème cloud BIO NL | Cette initiative comprend des stratégies qui traitent des contrôles BIO (Baseline Informatiebeveiliging) néerlandais spécifiquement pour les contrôles « thema-uitwerking Clouddiensten » et comprend des stratégies couvertes par les contrôles SOC2 et ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | Les normes de sécurité des données (DSS) du secteur des cartes de paiement (PCI) constituent une norme mondiale de sécurité des informations, conçue pour empêcher les fraudes grâce à un contrôle accru des données de carte de crédit. La conformité à la norme PCI DSS est obligatoire pour toutes les organisations qui stockent, traitent ou transmettent des données de paiement et des données relatives aux titulaires de carte. Ces stratégies concernent un sous-ensemble de contrôles PCI-DSS v4. Pour plus d’informations, visitez https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1. | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Cette initiative comprend des stratégies répondant à un sous-ensemble des contrôles PCI v3.2.1:2018. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malaysia | Cette initiative comprend des stratégies répondant à un sous-ensemble des exigences RMIT. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 Type 2 | Un SOC 2 est un rapport basé sur les principes et les critères de service de confiance établis par l’American Institute of Certified Public Accountants (AICPA). Le rapport évalue le système d’information d’une organisation en fonction des principes suivants : sécurité, disponibilité, intégrité du traitement, confidentialité et protection des données personnelles. Ces stratégies concernent un sous-ensemble de contrôles SOC 2 Type 2. Pour plus d’informations, visitez https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2. | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | Le programme de sécurité client (CSP) de SWIFT aide les institutions financières à s’assurer que leurs défenses contre les cyberattaques sont efficaces et à jour, afin de protéger l’intégrité du réseau financier dans sa globalité. Les utilisateurs comparent les mesures de sécurité qu’ils ont implémentées à celles détaillées dans le Customer Security Controls Framework (CSCF). Ces stratégies concernent un sous-ensemble de contrôles SWIFT. Pour plus d’informations, visitez https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021. | 343 | 2.3.0 |
| UK OFFICIAL et UK NHS | Cette initiative inclut des stratégies d’audit et de déploiement d’extension de machine virtuelle répondant à une partie des contrôles UK OFFICIAL et UK NHS. Des stratégies supplémentaires seront ajoutées dans les prochaines versions. Pour plus d’informations, consultez https://aka.ms/ukofficial-init et https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Résilience
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : les ressources doivent être résilientes dans une zone | Certains types de ressource peuvent être déployés avec une redondance interzone (par exemple, les bases de données SQL), certains peuvent être déployés avec un alignement sur une zone (par exemple, les machines virtuelles), et certains peuvent être déployés avec un alignement sur une zone ou une redondance interzone (par exemple, les groupes de machines virtuelles identiques). L’alignement sur une zone ne garantit pas la résilience, mais peut servir de base pour générer une solution résiliente (par exemple, trois zones de groupes de machines virtuelles identiques alignées sur trois zones différentes dans la même région avec un équilibreur de charge). Pour plus d'informations, consultez https://aka.ms/AZResilience. | 34 | 1.10.0-preview |
SDN
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Auditer l’accès au réseau public | Auditer les ressources Azure qui autorisent l’accès à partir d’Internet public | 35 | 4.2.0 |
| Évaluer l’utilisation Private Link dans toutes les ressources Azure prises en charge | Les ressources conformes ont au moins une connexion de point de terminaison privé approuvée | 30 | 1.1.0 |
Security Center
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison | Déployez Microsoft Defender pour l’agent point de terminaison sur les images applicables. | 4 | 1.0.0-preview |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur les bases de données relationnelles open source | Activez la protection avancée contre les menaces sur vos bases de données relationnelles open source de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. Consultez https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configurer Azure Defender pour qu’il soit activé sur les serveurs SQL Server et les instances SQL Managed Instance | Activez Azure Defender sur vos serveurs SQL Server ainsi que sur les instances SQL Managed Instance. Cela vous permettra de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès aux bases de données ou d’utilisation de code malveillant exploitant une faille de sécurité. | 3 | 3.0.0 |
| Configurer des plans Microsoft Defender pour le cloud | Microsoft Defender pour le cloud fournit des protections complètes natives Cloud du développement jusqu’au runtime dans des environnements multiclouds. Utilisez l’initiative de stratégie pour configurer les plans et extensions Defender pour le cloud à activer sur les étendues sélectionnées. | 11 | 1.0.0 |
| Configurer Microsoft Defender pour les bases de données à activer | Configurez Microsoft Defender pour bases de données pour protéger vos bases de données Azure SQL, vos instances managées, vos bases de données relationnelles open source et vos Cosmos DB. | 4 | 1.0.0 |
| Configurer plusieurs paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud | Configurez les différents paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | 3 | 1.0.0 |
| Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de renforcement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | 9 | 1.2.1 |
| Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de renforcement de la sécurité (recommandations). Crée un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | 8 | 1.1.1 |
| Point de référence de sécurité Microsoft Cloud | L’initiative de point de référence de sécurité du cloud Microsoft représente les stratégies et les contrôles qui implémentent les recommandations de sécurité définies dans le point de référence en matière de sécurité du cloud Microsoft (voir https://aka.ms/azsecbm). Cela sert également d’initiative de stratégie par défaut pour Microsoft Defender pour le cloud. Vous pouvez affecter directement cette initiative ou gérer ses stratégies et les résultats de conformité dans Microsoft Defender pour le cloud. | 241 | 57.37.0 |
SQL
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Azure SQL Database doit être uniquement authentifié par Microsoft Entra | L’authentification faite uniquement par Microsoft Entra pour Azure SQL Database est exigée, en désactivant les méthodes d’authentification locales. Cela permet d’accéder exclusivement via les identités Microsoft Entra, en améliorant la sécurité avec les améliorations de l’authentification moderne, notamment l’authentification multifacteur, l’authentification unique et l’accès par programmation sans secret avec des identités managées. | 2 | 1.0.0 |
| Azure SQL Managed Instance doit être uniquement authentifié par Microsoft Entra | L’authentification faite uniquement par Microsoft Entra pour Azure SQL Managed Instance est exigée, en désactivant les méthodes d’authentification locales. Cela permet d’accéder exclusivement via les identités Microsoft Entra, en améliorant la sécurité avec les améliorations de l’authentification moderne, notamment l’authentification multifacteur, l’authentification unique et l’accès par programmation sans secret avec des identités managées. | 2 | 1.0.0 |
Synapse
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Configurer les espaces de travail Synapse pour mandater uniquement les identités Microsoft Entra pour l’authentification | L’authentification faite uniquement par Microsoft Entra pour les espaces de travail Synapse est exigée et doit être configurée, en désactivant les méthodes d’authentification locales. Cela permet d’accéder exclusivement via les identités Microsoft Entra, en améliorant la sécurité avec les améliorations de l’authentification moderne, notamment l’authentification multifacteur, l’authentification unique et l’accès par programmation sans secret avec des identités managées. | 2 | 1.0.0 |
| Les espaces de travail Synapse doivent être authentifiés uniquement par Microsoft Entra | L’authentification faite uniquement par Microsoft Entra pour les espaces de travail Synapse est exigée, en désactivant les méthodes d’authentification locales. Cela permet d’accéder exclusivement via les identités Microsoft Entra, en améliorant la sécurité avec les améliorations de l’authentification moderne, notamment l’authentification multifacteur, l’authentification unique et l’accès par programmation sans secret avec des identités managées. | 2 | 1.0.0 |
Balises
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| Garantit que les ressources n’ont pas une étiquette spécifique. | Refuse la création d’une ressource contenant l’étiquette donnée. Ne s’applique pas aux groupes de ressources. | 1 | 2.0.0 |
Lancement fiable
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Configurer les prérequis pour activer l’attestation d’invité sur les machines virtuelles avec lancement fiable | Configurez les machines virtuelles avec lancement fiable pour installer automatiquement l’extension Attestation d’invité et activer l’identité managée affectée par le système afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. Pour plus d’informations, reportez-vous au lien suivant – https://aka.ms/trustedlaunch | 7 | 3.0.0-preview |
VirtualEnclaves
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Contrôler l’utilisation d’AKS dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour AKS afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation d’App Service dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour App Service afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de Container Registry dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour Container Registry afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de CosmosDB dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour CosmosDB afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation des paramètres de diagnostic pour des ressources spécifiques dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour garantir la configuration de types de ressources spécifiques dans Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de Key Vault dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour Key Vault afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de Microsoft SQL dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour Microsoft SQL afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de PostgreSql dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour PostgreSql afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de Service Bus dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour Service Bus afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [Préversion] : Contrôler l’utilisation de Comptes de stockage dans une enclave virtuelle | Cette initiative déploie des stratégies Azure pour Comptes de stockage afin de garantir la protection des limites de cette ressource lorsqu’elle fonctionne dans la structure logiquement séparée d’Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.