Definisi Azure Policy bawaan untuk Azure Virtual Network
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Virtual Network. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Microsoft Azure Virtual Network
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Container Registry harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Container Registry yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0-preview |
| Kebijakan IPsec/IKE kustom harus diterapkan ke semua koneksi gateway jaringan virtual Azure | Kebijakan ini memastikan bahwa semua koneksi gateway jaringan virtual Azure menggunakan kebijakan Keamanan Protokol Internet(Ipsec)/Pertukaran Kunci Internet(IKE) kustom. Algoritme yang didukung dan kekuatan kunci - https://aka.ms/AA62kb0 | Audit, Dinonaktifkan | 1.0.0 |
| Semua sumber daya log alur harus dalam status diaktifkan | Audit sumber daya log alur untuk memverifikasi jika status log alur diaktifkan. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Aplikasi App Service harus menggunakan titik akhir layanan jaringan virtual | Menggunakan titik akhir layanan jaringan virtual untuk membatasi akses ke aplikasi Anda dari subnet yang dipilih dari jaringan virtual Azure. Untuk mempelajari lebih lanjut tentang titik akhir layanan App Service, kunjungi https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Konfigurasi log alur audit untuk setiap jaringan virtual | Audit untuk jaringan virtual untuk memverifikasi apakah log alur dikonfigurasi. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Azure Application Gateway harus disebarkan dengan Azure WAF | Mengharuskan sumber daya Azure Application Gateway disebarkan dengan Azure WAF. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kebijakan firewall Azure harus mengaktifkan pemeriksaan TLS dalam aturan aplikasi | Mengaktifkan pemeriksaan TLS direkomendasikan agar semua aturan aplikasi untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Untuk mempelajari selengkapnya tentang pemeriksaan TLS dengan Azure Firewall, kunjungi https://aka.ms/fw-tlsinspect | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Firewall Premium harus mengonfigurasi sertifikat perantara yang valid untuk mengaktifkan inspeksi TLS | Konfigurasikan sertifikat perantara yang valid dan aktifkan inspeksi TLS Azure Firewall Premium untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Untuk mempelajari selengkapnya tentang pemeriksaan TLS dengan Azure Firewall, kunjungi https://aka.ms/fw-tlsinspect | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| VPN gateway Azure tidak boleh menggunakan SKU 'dasar' | Kebijakan ini memastikan bahwa VPN gateway tidak menggunakan SKU 'dasar'. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall di Azure Application Gateway harus mengaktifkan pemeriksaan isi permintaan | Pastikan bahwa Web Application Firewall yang terkait dengan Azure Application Gateway mengaktifkan pemeriksaan isi Permintaan. Ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall di Azure Front Door harus mengaktifkan pemeriksaan isi permintaan | Pastikan bahwa Web Application Firewall yang terkait dengan Azure Front Doors mengaktifkan pemeriksaan isi permintaan. Ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Perlindungan Bot harus diaktifkan untuk Azure Application Gateway WAF | Kebijakan ini memastikan bahwa perlindungan bot diaktifkan di semua kebijakan Azure Application Gateway Web Application Firewall (WAF) | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Perlindungan Bot harus diaktifkan untuk Azure Front Door WAF | Kebijakan ini memastikan bahwa perlindungan bot diaktifkan di semua kebijakan Azure Front Door Web Application Firewall (WAF) | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Melewati daftar Sistem Deteksi dan Pencegahan Intrusi (IDPS) harus kosong di Firewall Policy Premium | Daftar Bypass Sistem Deteksi dan Pencegahan Intrusi (IDPS) memungkinkan Anda untuk tidak memfilter lalu lintas ke salah satu alamat IP, rentang, dan subnet yang ditentukan dalam daftar bypass. Namun, mengaktifkan IDPS diminta kembali untuk semua arus lalu lintas untuk mengidentifikasi ancaman yang diketahui dengan lebih baik. Untuk mempelajari selengkapnya tentang tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps-signature | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi pengaturan diagnostik untuk Kelompok Keamanan Jaringan Azure untuk mencatat ruang kerja Analitik Log | Sebarkan pengaturan diagnostik ke Kelompok Keamanan Jaringan Azure untuk mengalirkan log sumber daya ke ruang kerja Analitik Log. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan grup keamanan jaringan untuk mengaktifkan analitik lalu lintas | Analitik lalu lintas dapat diaktifkan untuk semua grup keamanan jaringan yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Jika sudah mengaktifkan Analitik lalu lintas, kebijakan tidak akan menimpa pengaturannya. Log Alur juga diaktifkan untuk Grup keamanan jaringan yang tidak memilikinya. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi grup keamanan jaringan untuk menggunakan ruang kerja, akun penyimpanan, dan kebijakan penyimpanan flowlog tertentu untuk analitik lalu lintas | Jika sudah mengaktifkan analitik lalu lintas, kebijakan akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi jaringan virtual untuk mengaktifkan Log Alur dan Analitik Lalu Lintas | Analitik lalu lintas dan Log alur dapat diaktifkan untuk semua jaringan virtual yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Kebijakan ini tidak menimpa pengaturan saat ini untuk jaringan virtual yang sudah mengaktifkan fitur ini. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.1.1 |
| Mengonfigurasi jaringan virtual untuk menerapkan ruang kerja, akun penyimpanan, dan interval retensi untuk log Alur dan Analitik Lalu Lintas | Jika jaringan virtual sudah mengaktifkan analitik lalu lintas, kebijakan ini akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.1.2 |
| Cosmos DB harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Cosmos DB yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Menyebarkan sumber daya log alur dengan grup keamanan jaringan target | Konfigurasi log alur untuk grup keamanan jaringan tertentu. Hal ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. | deployIfNotExists | 1.1.0 |
| Menyebarkan sumber daya Log Alur dengan jaringan virtual target | Mengonfigurasi log alur untuk jaringan virtual tertentu. Ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. | DeployIfNotExists, Nonaktif | 1.1.1 |
| Menyebarkan pengamat jaringan saat jaringan virtual dibuat | Kebijakan ini membuat resource network watcher di wilayah dengan jaringan virtual. Anda perlu memastikan keberadaan grup sumber daya bernama networkWatcherRG, yang akan digunakan untuk menyebarkan instans network watcher. | DeployIfNotExists | 1.0.0 |
| Mengaktifkan aturan Batas Laju untuk melindungi dari serangan DDoS di Azure Front Door WAF | Aturan batas tarif Azure Web Application Firewall (WAF) untuk Azure Front Door mengontrol jumlah permintaan yang diizinkan dari alamat IP klien tertentu ke aplikasi selama durasi batas laju. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Event Hub harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Pusat Peristiwa apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Firewall Policy Premium harus mengaktifkan semua aturan tanda tangan IDPS untuk memantau semua arus lalu lintas masuk dan keluar | Mengaktifkan semua aturan tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) disarankan untuk mengidentifikasi ancaman yang diketahui dengan lebih baik dalam arus lalu lintas. Untuk mempelajari selengkapnya tentang tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps-signature | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Firewall Policy Premium harus mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS) | Mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS) memungkinkan Anda memantau jaringan Anda untuk aktivitas berbahaya, mencatat informasi tentang aktivitas ini, melaporkannya, dan secara opsional mencoba memblokirnya. Untuk mempelajari selengkapnya tentang Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Log alur harus dikonfigurasi untuk setiap grup keamanan jaringan | Audit untuk grup keamanan jaringan untuk memverifikasi apakah log aliran dikonfigurasi. Mengaktifkan log aliran memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.1.0 |
| Subnet gateway tidak boleh dikonfigurasi dengan grup keamanan jaringan | Kebijakan ini menolak jika subnet gateway dikonfigurasi dengan grup keamanan jaringan. Menetapkan grup keamanan jaringan ke subnet gateway akan menyebabkan gateway berhenti berfungsi. | tolak | 1.0.0 |
| Key Vault harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Key Vault yang tidak dikonfigurasi untuk menggunakan endpoint layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Memigrasikan WAF dari Konfigurasi WAF ke Kebijakan WAF di Application Gateway | Jika Anda memiliki Konfigurasi WAF alih-alih Kebijakan WAF, maka Anda mungkin ingin pindah ke Kebijakan WAF baru. Selanjutnya, kebijakan firewall akan mendukung pengaturan kebijakan WAF, aturan terkelola, pengecualian, dan grup aturan yang dinonaktifkan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Antarmuka jaringan harus menonaktifkan penerusan IP | Kebijakan ini menolak antarmuka jaringan yang mengaktifkan penerusan IP. Pengaturan penerusan IP menonaktifkan pemeriksaan Azure terhadap sumber dan destinasi untuk antarmuka jaringan. Hal ini harus ditinjau oleh tim keamanan jaringan. | tolak | 1.0.0 |
| Antarmuka jaringan tidak boleh memiliki IP publik | Kebijakan ini menolak antarmuka jaringan yang dikonfigurasi dengan IP publik apa pun. Alamat IP publik memungkinkan sumber daya internet untuk berkomunikasi masuk ke sumber daya Azure, dan sumber daya Azure berkomunikasi keluar ke internet. Hal ini harus ditinjau oleh tim keamanan jaringan. | tolak | 1.0.0 |
| Log alur Network Watcher harus mengaktifkan analitik lalu lintas | Analitik lalu lintas menganalisis log alur untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Ini dapat digunakan untuk memvisualisasikan aktivitas jaringan di seluruh langganan Azure Anda dan mengidentifikasi titik panas, mengidentifikasi ancaman keamanan, memahami pola arus lalu lintas, menentukan kesalahan konfigurasi jaringan, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| SQL Server harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit SQL Server yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Akun Penyimpanan yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Langganan harus mengonfigurasi Azure Firewall Premium untuk memberikan lapisan perlindungan tambahan | Azure Firewall Premium memberikan perlindungan ancaman tingkat lanjut yang memenuhi kebutuhan lingkungan yang sangat sensitif dan teregulasi. Sebarkan Azure Firewall Premium ke langganan Anda dan pastikan semua lalu lintas layanan dilindungi oleh Azure Firewall Premium. Untuk mempelajari selengkapnya tentang Azure Firewall Premium, kunjungi https://aka.ms/fw-premium | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Komputer virtual harus terhubung ke jaringan virtual yang disetujui | Kebijakan ini mengaudit setiap komputer virtual yang terhubung ke jaringan virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jaringan virtual harus dilindungi oleh Azure DDoS Protection | Lindungi jaringan virtual Anda dari serangan volumetrik dan protokol dengan Azure DDoS Protection. Untuk informasi selengkapnya, kunjungi https://aka.ms/ddosprotectiondocs. | Ubah, Audit, Dinonaktifkan | 1.0.1 |
| Jaringan virtual harus menggunakan gateway jaringan virtual yang ditentukan | Kebijakan ini mengaudit jaringan virtual apa pun jika rute default tidak mengarah ke gateway jaringan virtual yang ditentukan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Gateway VPN hanya boleh menggunakan autentikasi Azure Active Directory (Azure AD) untuk pengguna titik-ke-situs | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Gateway VPN hanya menggunakan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya tentang autentikasi Azure Active Directory di https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Web Application Firewall (WAF) harus mengaktifkan semua aturan firewall untuk Application Gateway | Mengaktifkan semua aturan Web Application Firewall (WAF) memperkuat keamanan aplikasi Anda dan melindungi aplikasi web Anda dari kerentanan umum. Untuk mempelajari lebih lanjut tentang Web Application Firewall (WAF) dengan Application Gateway, kunjungi https://aka.ms/waf-ag | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Firewall Aplikasi Web (WAF) harus menggunakan mode yang ditentukan untuk Gateway Aplikasi | Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif di semua kebijakan Web Application Firewall untuk Azure Application Gateway. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Web Application Firewall | Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif di semua kebijakan Web Application Firewall untuk Azure Front Door Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Tag
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan tag ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Tambahkan tag ke sumber daya | Menambahkan tag dan nilai yang ditentukan saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Tidak mengubah tag pada grup sumber daya. | ubah | 1.0.0 |
| Tambahkan tag ke langganan | Menambahkan tag dan nilai yang ditentukan ke langganan melalui tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat grup sumber daya dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Tidak mengubah tag pada grup sumber daya. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan pada langganan melalui tugas perbaikan. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | ubah | 1.0.0 |
| Menambahkan tag dan nilainya dari grup sumber daya | Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya saat sumber daya apa pun yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.0 |
| Menambahkan tag dan nilainya ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag grup sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga grup sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.0 |
| Menambahkan tag dan nilainya ke sumber daya | Menambahkan tag dan nilai yang ditentukan saat sumber daya apa pun yang hilang dari tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Tidak berlaku untuk grup sumber daya. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.1 |
| Mewarisi tag dari grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan dari grup sumber daya induk saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Mewarisi tag dari grup sumber daya jika tidak ada | Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya induk saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Mewarisi tag dari langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan dari langganan yang berisi saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Mewarisi tag dari langganan jika tidak ada | Menambahkan tag yang ditentukan dengan nilainya dari langganan yang memuatnya saat sumber daya yang hilang dari tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Memerlukan tag dan nilainya pada grup sumber daya | Menerapkan tag yang diperlukan dan nilainya pada grup sumber daya. | tolak | 1.0.0 |
| Memerlukan tag dan nilainya pada sumber daya | Menerapkan tag yang diperlukan dan nilainya. Tidak berlaku untuk grup sumber daya. | tolak | 1.0.1 |
| Memerlukan tag pada grup sumber daya | Menerapkan keberadaan tag pada grup sumber daya. | tolak | 1.0.0 |
| Memerlukan tag pada sumber daya | Menerapkan keberadaan tag. Tidak berlaku untuk grup sumber daya. | tolak | 1.0.1 |
| Memerlukan sumber daya untuk tidak memiliki tag tertentu. | Menolak pembuatan sumber daya yang berisi tag yang diberikan. Tidak berlaku untuk grup sumber daya. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Umum
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lokasi yang diizinkan | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menggunakan sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. Tidak termasuk grup sumber daya, Microsoft.AzureActiveDirectory/b2cDirectories, dan sumber daya yang menggunakan wilayah 'global'. | tolak | 1.0.0 |
| Lokasi yang diizinkan untuk grup sumber daya | Kebijakan ini memungkinkan Anda membatasi lokasi tempat organisasi Anda dapat membuat sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | tolak | 1.0.0 |
| Jenis sumber daya yang diizinkan | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat disebarkan oleh organisasi Anda. Hanya jenis sumber daya yang mendukung 'tag' dan 'lokasi' yang akan terpengaruh oleh kebijakan ini. Untuk membatasi semua sumber daya, silakan salin kebijakan ini dan ubah 'mode' menjadi 'Semua'. | tolak | 1.0.0 |
| Lokasi sumber daya audit cocok dengan lokasi grup sumber daya | Audit bahwa lokasi sumber daya cocok dengan lokasi grup sumber dayanya | audit | 2.0.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi langganan untuk menyiapkan fitur pratinjau | Kebijakan ini mengevaluasi fitur pratinjau langganan yang ada. Langganan dapat diperbaiki untuk mendaftar ke fitur pratinjau baru. Langganan baru tidak akan didaftarkan secara otomatis. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.1 |
| Jangan izinkan penghapusan jenis sumber daya | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat dilindungi organisasi Anda dari penghapusan yang tidak disengaja dengan memblokir panggilan penghapusan menggunakan efek tindakan tolak. | DenyAction, Dinonaktifkan | 1.0.1 |
| Jangan Izinkan sumber daya M365 | Memblokir pembuatan sumber daya M365. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jangan Izinkan sumber daya MCPP | Memblokir pembuatan sumber daya MCPP. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengecualikan Sumber Daya Biaya Penggunaan | Kebijakan ini memungkinkan Anda menjalankan Sumber Daya Biaya Penggunaan. Biaya penggunaan mencakup hal-hal seperti penyimpanan terukur dan sumber daya Azure yang ditagih berdasarkan penggunaan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jenis sumber daya yang tidak diizinkan | Batasi jenis sumber daya mana yang dapat disebarkan di lingkungan Anda. Membatasi jenis sumber daya dapat mengurangi kompleksitas dan permukaan serangan lingkungan Anda sekaligus membantu mengelola biaya. Hasil kepatuhan hanya ditampilkan untuk sumber daya yang tidak patuh. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.