Azure Policy の組み込みイニシアチブの定義
このページは、Azure Policy の組み込みイニシアチブの定義のインデックスです。
各組み込みの名前は、Azure Policy GitHub リポジトリのイニシアチブ定義ソースにリンクされています。 組み込みは、metadata 内の category プロパティごとにグループ化されています。 特定のカテゴリに移動するには、ブラウザーの検索機能に Ctrl-F キーを使用します。
自動管理
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: Automanage に対する構成の監査 のベスト プラクティス | Automanage Machine のベスト プラクティスにより、割り当てられた構成プロファイルで定義されている目的の状態に従って、管理対象リソースが確実に設定されます。 | 6 | 1.0.1 - プレビュー |
ChangeTrackingAndInventory
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: Arc 対応仮想マシンの ChangeTracking と Inventory を有効にする | Arc 対応仮想マシンの ChangeTracking と Inventory を有効にします。 パラメーターとしてデータ収集ルール ID を受け取り、該当する場所を入力するためのオプションの指定を求めます。 | 6 | 1.0.0-preview |
| [プレビュー]: 仮想マシン スケール セットの ChangeTracking と Inventory を有効にする | 仮想マシン スケール セットの ChangeTracking と Inventory を有効にします。 パラメーターとしてデータ収集ルール ID を受け取り、該当する場所を入力するためのオプションと、Azure Monitor エージェントのユーザー割り当て ID の指定を求めます。 | 7 | 1.0.0-preview |
| [プレビュー]: 仮想マシンの ChangeTracking と Inventory を有効にする | 仮想マシンの ChangeTracking と Inventory を有効にします。 パラメーターとしてデータ収集ルール ID を受け取り、該当する場所を入力するためのオプションと、Azure Monitor エージェントのユーザー割り当て ID の指定を求めます。 | 7 | 1.0.0-preview |
Cosmos DB
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| Azure Cosmos DB スループット ポリシーを有効にする | 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の Azure Cosmos DB リソースのスループット制御を有効にします。 パラメーターとして最大スループットを使用します。 このポリシーを使用すると、リソースプロバイダーを介してスループット制御を適用できます。 | 2 | 1.0.0 |
全般
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| 使用量コストのリソースを許可する | MCPP、M365 を除くリソースのデプロイを許可します。 | 2 | 1.0.0 |
ゲスト構成
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: 仮想マシンでゲスト構成ポリシーを有効にするための前提条件を、ユーザー割り当てマネージド ID を使用してデプロイする | このイニシアチブでは、ゲスト構成ポリシーによる監視の対象になる資格のある仮想マシンに、ユーザー割り当てマネージド ID が追加され、プラットフォームに適したゲスト構成拡張機能がデプロイされます。 これはすべてのゲスト構成ポリシーに対する前提条件であるため、ゲスト構成ポリシーを使用する前にポリシー割り当てスコープに割り当てる必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 3 | 1.0.0-preview |
| [プレビュー]: Windows マシンは Azure コンピューティング セキュリティ ベースラインの要件を満たす必要がある | このイニシアチブでは、Azure コンピューティング セキュリティ ベースラインを満たしていない設定で Windows マシンを監査します。 詳細については、https://aka.ms/gcpol を参照してください。 | 29 | 2.0.1-preview |
| セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査する | このイニシアティブはポリシー要件をデプロイし、セキュリティで保護されていないパスワードのセキュリティ設定があるマシンを監査します。 ゲスト構成ポリシーの詳細については、https://aka.ms/gcpol にアクセスしてください | 9 | 1.1.0 |
| Windows マシン (前提条件を含む) にセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成する | Windows マシンに、セキュリティで保護されたプロトコルの指定バージョン (TLS 1.1 または TLS 1.2) を構成するためのゲスト構成の割り当て (前提条件を含む) を作成します。 詳細については、https://aka.ms/SetSecureProtocol を参照してください。 | 3 | 1.0.0 |
| 仮想マシンでゲスト構成ポリシーを有効にするための前提条件をデプロイする | このイニシアチブでは、ゲスト構成ポリシーによる監視の対象になる資格のある仮想マシンに、システム割り当てマネージド ID が追加され、プラットフォームに適したゲスト構成拡張機能がデプロイされます。 これはすべてのゲスト構成ポリシーに対する前提条件であるため、ゲスト構成ポリシーを使用する前にポリシー割り当てスコープに割り当てる必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 4 | 1.0.0 |
Kubernetes
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: イメージの整合性を使用して、信頼されたイメージのみがデプロイされるようにする | AKS クラスター上で Image Integrity と Azure Policy のアドオンを有効にすることで、Image Integrity を使って、AKS クラスターが信頼できるイメージのみをデプロイするようにします。 Image Integrity を使ってデプロイ時にイメージが署名されているかどうかを検証するには、Image Integrity アドオンと Azure Policy アドオンの両方が前提条件です。 詳しくは、https://aka.ms/aks/image-integrity を参照してください。 | 3 | 1.1.0-preview |
| [プレビュー]: デプロイ セーフガードは、AKS で推奨されるベスト プラクティスに向けて開発者をガイドするのに役立つ必要がある | Azure Kubernetes Service (AKS) によって推奨される Kubernetes のベスト プラクティスのコレクション。 最適なエクスペリエンスを得るために、デプロイ セーフガードを使用して、このポリシー イニシアチブ (https://aka.ms/aks/deployment-safeguards) を割り当てます。 AKS 用 Azure Policy アドオンは、これらのベスト プラクティスをクラスターに適用するための前提条件です。 Azure Policy アドオンを有効にする手順については、aka.ms/akspolicydoc を参照してください | 11 | 1.4.1-preview |
| Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティ ベースライン標準 | このイニシアチブには、Kubernetes クラスター ポッドのセキュリティ ベースライン標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | 5 | 1.4.0 |
| Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティで制限された標準 | このイニシアチブには、Kubernetes クラスター ポッドのセキュリティで制限された標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 | 8 | 2.5.0 |
マネージド ID
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: マネージド ID フェデレーション資格情報は、承認されたフェデレーション ソースから承認された種類である必要があります | マネージド ID のフェデレーション資格情報の使用を制御します。 このイニシアチブには、フェデレーション ID 資格情報を完全にブロックし、特定のフェデレーション プロバイダーの種類に使用を制限し、フェデレーション再承認を承認されたソースに制限するポリシーが含まれています。 | 3 | 1.0.0-preview |
監視
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: 仮想マシンで Azure Defender for SQL エージェントを構成する | Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 このポリシーは、少数のリージョンの VM にのみ適用されます。 | 2 | 1.0.0-preview |
| Azure Monitor エージェントを実行し、データ収集ルールに関連付けるように Linux マシンを構成する | Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールにマシンを関連付けることで、Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンの監視とセキュリティ保護を行います。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) でデプロイが実行されます。 | 4 | 3.2.0 |
| Azure Monitor エージェントを実行し、データ収集ルールに関連付けるように Windows マシンを構成する | Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールにマシンを関連付けることで、Windows 仮想マシン、仮想マシン スケール セット、および Arc マシンの監視とセキュリティ保護を行います。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) でデプロイが実行されます。 | 4 | 3.2.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用する Linux Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける | ユーザー割り当てマネージド ID 認証を使用する Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールを関連付けることで、Linux 仮想マシンと仮想マシン スケール セットを監視します。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) で Azure Monitor エージェントのデプロイが実行されます。 | 5 | 2.3.0 |
| ユーザー割り当てマネージド ID ベースの認証を使用する Windows Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける | ユーザー割り当てマネージド ID 認証を使用する Azure Monitor エージェントの拡張機能をデプロイし、指定されたデータ収集ルールを関連付けることで、Windows 仮想マシンと仮想マシン スケール セットを監視します。 サポートされているリージョン内にある、サポートされている OS イメージを使用するマシン (または提供されたイメージの一覧に一致するマシン) で Azure Monitor エージェントのデプロイが実行されます。 | 5 | 2.3.0 |
| サポートされているリソース用の監査カテゴリ グループ リソースのイベント ハブへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアチブでは、監査カテゴリ グループを使用して診断設定をデプロイし、サポートされているすべてのリソースのログをイベント ハブにルーティングします。 | 33 | 1.0.0 |
| サポートされているリソース用の監査カテゴリ グループ リソースの Log Analytics へのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアチブでは、監査カテゴリ グループを使用して診断設定をデプロイし、サポートされているすべてのリソースのログを Log Analytics にルーティングします | 33 | 1.0.0 |
| サポートされているリソース用の監査カテゴリ グループ リソースのストレージへのログ記録を有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このイニシアチブでは、監査カテゴリ グループを使用して診断設定をデプロイし、サポートされているすべてのリソースのログをストレージにルーティングします | 33 | 1.0.0 |
| AMA で Azure Monitor for Hybrid VMs を有効にする | AMA を使用するハイブリッド仮想マシンに対して Azure Monitor を有効にします。 | 6 | 1.0.0 |
| Azure Monitor エージェント (AMA) で Azure Monitor for VMs を有効にする | AMA を使用して仮想マシン (VM) に対して Azure Monitor を有効にします。 | 7 | 1.0.0 |
| Azure Monitor エージェント (AMA) で Azure Monitor for VMSS を有効にする | AMA を使用して仮想マシン スケール セット (VMSS) に対して Azure Monitor を有効にします。 | 7 | 1.0.0 |
| レガシ - Virtual Machine Scale Sets 用の Azure Monitor を有効にする | レガシ - 指定されたスコープ (管理グループ、サブスクリプション、またはリソース グループ) 内の Virtual Machine Scale Sets に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして取得します。 「Azure Monitor for VMSS for Azure Monitoring Agent(AMA) を有効にする」という名前の新しいイニシアチブを使用します。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | 6 | 1.0.2 |
| レガシ - Azure Monitor for VMs を有効にする | レガシ - 指定されたスコープ (管理グループ、サブスクリプション、リソース グループ) 内の仮想マシン (VM) に対して Azure Monitor を有効にします。 Log Analytics ワークスペースをパラメーターとして取得します。 「Azure Monitoring Agent (AMA) で Azure Monitor for VMs を有効にする」という名前の新しいイニシアチブを使用します | 10 | 2.0.1 |
ネットワーク
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成し有効にする必要がある | フロー ログが構成されているかどうか、フロー ログの状態が有効になっているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | 2 | 1.0.0 |
規制コンプライアンス
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: Australian Government ISM PROTECTED | このイニシアチブには、Australian Government Information Security Manual (ISM) のコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/auism-initiative を参照してください。 | 54 | 8.2.2-preview |
| [プレビュー]: CMMC 2.0 レベル 2 | このイニシアチブには、CMMC 2.0 レベル 2 プラクティスのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cmmc2l2-initiative を参照してください。 | 248 | 2.9.0-preview |
| [プレビュー]: アメリカ映画協会 (MPAA) | このイニシアティブには、アメリカ映画協会 (MPAA) のセキュリティとガイドラインのコントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/mpaa-init を参照してください。 | 36 | 4.1.0-preview |
| [プレビュー]: インド準備銀行 - 銀行向けの IT フレームワーク | このイニシアティブには、銀行向けのインド準備銀行 IT フレームワークのコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/rbiitfbanks-initiative を参照してください。 | 172 | 1.9.0-preview |
| [プレビュー]: インド準備銀行 - NBFC 向けの IT フレームワーク | このイニシアティブには、ノンバンク金融会社 (NBFC) 向けのインド準備銀行 IT フレームワークのコントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/rbiitfnbfc-initiative を参照してください。 | 134 | 2.8.0-preview |
| [プレビュー]: 主権ベースライン - 機密ポリシー | Microsoft Cloud for Sovereignty では、組織が主権目標を達成できるように、承認されたリージョン外でのリソースの作成を既定で拒否する機密ポリシー、Azure Confidential Computing によってサポートされていないリソースを拒否する機密ポリシー、カスタマー マネージド キーを使用していないデータ ストレージ リソースを拒否する機密ポリシーを推奨しています。 詳細については、https://aka.ms/SovereigntyBaselinePolicies を参照してください。 | 17 | 1.0.0-preview |
| [プレビュー]: 主権ベースライン - グローバル ポリシー | Microsoft Cloud for Sovereignty では、組織が主権目標を達成できるように、承認されたリージョン外でのリソースの作成を既定で拒否するグローバル ポリシーを推奨しています。 詳細については、https://aka.ms/SovereigntyBaselinePolicies を参照してください。 | 3 | 1.0.0-preview |
| [プレビュー]: SWIFT CSP-CSCF v2020 | このイニシアチブには、SWIFT CSP-CSCF v2020 コントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2020-init を参照してください。 | 59 | 6.1.0-preview |
| [プレビュー]: SWIFT CSP-CSCF v2021 | このイニシアティブには、SWIFT Customer Security Program の Customer Security Controls Framework v2021 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/swift2021-init を参照してください。 | 138 | 4.6.0-preview |
| Microsoft 365 認定用の ACAT | Microsoft 365 用アプリ コンプライアンス自動化ツール (ACAT) を使用すると、Microsoft 365 認定を取得するためのプロセスが簡略化されます。https://aka.ms/acat を参照してください。 この認定により、お客様のデータ、セキュリティ、プライバシーを保護するための強力なセキュリティとコンプライアンスのプラクティスがアプリに適用されることが保証されます。 このイニシアチブには、Microsoft 365 認定資格コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 | 24 | 1.0.0 |
| カナダ連邦の PBMM | このイニシアチブには、カナダ連邦の PBMM コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/canadafederalpbmm-init を参照してください。 | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.1.0 コントロールのサブセットに対処します。 詳細については、 https://aka.ms/cisazure110-initiative にアクセスしてください | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.3.0 コントロールのサブセットに対処します。 詳細については、 https://aka.ms/cisazure130-initiative にアクセスしてください | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v1.4.0 コントロールのサブセットに対処します。 詳細については、 https://aka.ms/cisazure140-initiative にアクセスしてください | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Center for Internet Security (CIS) は、"サイバー防御のベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" という使命を持つ非営利団体です。 CIS ベンチマークは、システムを安全に構成するための構成基準とベスト プラクティスです。 これらのポリシーは、CIS Microsoft Azure Foundations Benchmark v2.0.0 コントロールのサブセットに対処します。 詳細については、 https://aka.ms/cisazure200-initiative にアクセスしてください | 211 | 1.1.0 |
| CMMC レベル 3 | このイニシアティブには、サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 3 の要件のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/cmmc-initiative を参照してください。 | 163 | 11.5.0 |
| FedRAMP High | FedRAMP は、米国政府全体で実行されるプログラムであり、クラウドベースの製品とサービスに対するセキュリティの評価、認可、および継続的な監視に対する標準化された手法を提供します。 FedRAMP では、NIST ベースライン コントロールに基づいて、低、中、または高のセキュリティ影響レベル システムに対する一連のコントロールを定義します。 これらのポリシーは、FedRAMP (高) コントロールのサブセットに対処します。 詳細については、 https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp にアクセスしてください | 733 | 17.10.0 |
| FedRAMP (中) | FedRAMP は、米国政府全体で実行されるプログラムであり、クラウドベースの製品とサービスに対するセキュリティの評価、認可、および継続的な監視に対する標準化された手法を提供します。 FedRAMP では、NIST ベースライン コントロールに基づいて、低、中、または高のセキュリティ影響レベル システムに対する一連のコントロールを定義します。 これらのポリシーは、FedRAMP (中) コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、 https://www.fedramp.gov/documents-templates/ にアクセスしてください | 664 | 17.9.0 |
| HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) は、すべてのセクターの組織 (特に医療機関) がデータ、情報リスク、コンプライアンスを効率的に管理するのに役立ちます。 HITRUST 認定は、情報セキュリティ プログラムの徹底的な評価が組織に対して行われたことを意味します。 これらのポリシーは、HITRUST コントロールのサブセットに対処します。 詳細については、 https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 にアクセスしてください | 610 | 14.3.0 |
| IRS1075 September 2016 | このイニシアチブには、IRS1075 September 2016 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/irs1075-init を参照してください。 | 60 | 8.1.0 |
| ISO 27001:2013 | 国際標準化機構 (ISO) 27001 規格は、情報セキュリティ管理システム (ISMS) を確立、実装、維持、継続的に改善するための要件を提供します。 これらのポリシーは、ISO 27001:2013 コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、 https://aka.ms/iso27001-init にアクセスしてください | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | 米国 National Institute of Standards and Technology (NIST) は、連邦機関の情報および情報システムの保護に役立つ測定基準とガイドラインを促進し、維持しています。 非格付け情報 (CUI) の管理に関する大統領行政命令 13556 に対応して、NIST SP 800-171 を公開しました。 これらのポリシーは、NIST SP 800-171 Rev. 2 コントロールのサブセットに対処します。 詳細については、 https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 にアクセスしてください | 463 | 15.9.0 |
| NIST SP 800-53 Rev. 4 | National Institute of Standards and Technology (NIST) SP 800-53 R4 は、情報セキュリティ リスクを管理するためのクラウド コンピューティング製品とサービスを評価、監視、認証するための標準化された手法を提供します。これらのポリシーは、NIST SP 800-53 R4 コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、 https://aka.ms/nist800-53r4-initiative にアクセスしてください | 734 | 17.9.0 |
| NIST SP 800-53 Rev. 5 | National Institute of Standards and Technology (NIST) SP 800-53 Rev.5 は、情報セキュリティ リスクを管理するためのクラウド コンピューティング製品とサービスを評価、監視、認証するための標準化された手法を提供します。 これらのポリシーは、NIST SP 800-53 R5 コントロールのサブセットに対処します。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、 https://aka.ms/nist800-53r5-initiative にアクセスしてください | 719 | 14.9.0 |
| NL BIO Cloud Theme | このイニシアチブには、特に 'thema-uitwerking Clouddiensten' に対するオランダの Baseline Informatiebeveiliging (BIO) コントロールに対応するポリシーと、SOC2 および ISO 27001:2013 のコントロールの対象となるポリシーが含まれます。 | 252 | 1.3.0 |
| PCI DSS v4 | Payment Card Industry (PCI) の Data Security Standards (DSS) は、クレジット カード データの制御を強化することで不正行為を防ぐために設計されたグローバル情報セキュリティ標準です。 PCI DSS への準拠は、支払いおよびカード所有者のデータを保存、処理、または送信するすべての組織で必要です。 これらのポリシーは、PCI-DSS v4 コントロールのサブセットに対処します。 詳細については、 https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 にアクセスしてください | 277 | 1.1.0 |
| PCI v3.2.1:2018 | このイニシアチブには、PCI v3.2.1:2018 コントロールのサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/pciv321-init を参照してください。 | 36 | 6.1.0 |
| RMIT マレーシア | このイニシアチブには、RMIT 要件のサブセットに対応するポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、aka.ms/rmit-initiative をご覧ください。 | 208 | 9.7.0 |
| SOC 2 Type 2 | システムおよび組織管理 (SOC) 2 は、米国公認会計士協会 (AICPA) によって確立されたトラスト サービスの原則および基準に基づくレポートです。 レポートは、セキュリティ、可用性、処理の整合性、機密性、プライバシーの 1 つ以上の原則に関連する組織の情報システムを評価します。 これらのポリシーは、SOC 2 Type 2 コントロールのサブセットに対処します。 詳細については、 https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 にアクセスしてください | 319 | 1.6.0 |
| SWIFT CSP-CSCF v2022 | SWIFT の Customer Security Programme (CSP) は、金融機関がサイバー攻撃に対する防御が最新かつ有効であることを確認し、より広範な金融ネットワークの整合性を保護するのに役立ちます。 ユーザーは、実装したセキュリティ対策と Customer Security Controls Framework (CSCF) に記載されているセキュリティ対策を比較します。 これらのポリシーは、SWIFT コントロールのサブセットに対処します。 詳細については、 https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 にアクセスしてください | 343 | 2.3.0 |
| UK OFFICIAL および UK NHS | このイニシアティブには、UK OFFICIAL および UK NHS コントロールのサブセットに対応する監査および仮想マシン拡張機能のデプロイ ポリシーが含まれています。 今後のリリースでさらにポリシーが追加される予定です。 詳細については、https://aka.ms/ukofficial-init と https://aka.ms/uknhs-init を参照してください。 | 57 | 9.1.0 |
回復力
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: リソースはゾーン回復性がある必要がある | リソースの一部の種類は、ゾーン冗長でデプロイできます (例: SQL データベース)。また、ゾーン アラインでデプロイできるものもあれば (例: Virtual Machines)、ゾーン アラインとゾーン冗長のいずれかでデプロイできるものもあります (例: Virtual Machine Scale Sets)。 ゾーン アラインであることが回復性を保証するわけではありませんが、回復性があるソリューションが構築される基礎にはなります (例: ロード バランサーを使用して同じリージョンの異なる 3 つのゾーンにゾーン アラインされた 3 つの Virtual Machine Scale Sets)。 詳細については、https://aka.ms/AZResilience を参照してください。 | 34 | 1.10.0-preview |
SDN
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| パブリック ネットワーク アクセスの監査 | パブリック インターネットからのアクセスを許可する Azure リソースを監査する | 36 | 4.1.0 |
| サポートされているすべての Azure リソースで Private Link の使用状況を評価する | 準拠しているリソースには、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です | 30 | 1.1.0 |
Security Center
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: Microsoft Defender for Endpoint エージェントのデプロイ | 適用対象のイメージに Microsoft Defender for Endpoint エージェントをデプロイします。 | 4 | 1.0.0-preview |
| SQL Server および SQL Managed Instance で Azure Defender を有効にするように構成する | SQL Server と SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 | 3 | 3.0.0 |
| Microsoft Defender for Cloud のプランを設定する | Microsoft Defender for Cloud は、マルチクラウド環境における開発からランタイムまで、クラウドネイティブで包括的な保護を提供します。 ポリシー イニシアティブを使用して、Defender for Cloud のプランを設定し、選択した範囲の拡張機能を有効にします。 | 11 | 1.0.0 |
| Microsoft Defender for Databases が有効になるように構成する | Azure SQL Database、Managed Instance、オープン ソース リレーショナル データベース、および Cosmos DB を保護するように Microsoft Defender for Databases を構成します。 | 4 | 1.0.0 |
| Microsoft Defender for Cloud を使用して複数の Microsoft Defender for Endpoint 統合の設定を構成する | Microsoft Defender for Cloud (WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTION など) を使用して、複数の Microsoft Defender for Endpoint 統合の設定を構成します。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | 3 | 1.0.0 |
| LA ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL Server を構成する | Microsoft Defender for SQL により、エージェントからイベントが収集され、それらを使用してセキュリティ アラートおよび調整されたセキュリティ強化タスク (推奨事項) が提供されます。 マシンと同じリージョンに、リソース グループ、データ収集ルールおよび Log Analytics ワークスペースを作成します。 | 9 | 1.2.1 |
| ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL Server を構成する | Microsoft Defender for SQL により、エージェントからイベントが収集され、それらを使用してセキュリティ アラートおよび調整されたセキュリティ強化タスク (推奨事項) が提供されます。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | 8 | 1.1.1 |
| Microsoft クラウド セキュリティ ベンチマーク | Microsoft クラウド セキュリティ ベンチマーク イニシアティブとは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ推奨事項を実現するポリシーとコントロールを意味します。https://aka.ms/azsecbm を参照してください。 これは、Microsoft Defender for Cloud の既定のポリシー イニシアチブとしても機能します。 このイニシアティブを直接割り当てるか、または、そのポリシーとコンプライアンスの結果を Microsoft Defender for Cloud 内で管理できます。 | 242 | 57.35.0 |
SQL
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| Azure SQL Database には Microsoft Entra 専用認証が必要である | Azure SQL Database に対して Microsoft Entra 専用認証を要求し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
| Azure SQL Managed Instance には Microsoft Entra 専用認証が必要である | Azure SQL Managed Instance に対して Microsoft Entra 専用認証を要求し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
Synapse
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| 認証に Microsoft Entra 専用 ID を要求するように Synapse ワークスペースを構成する | Synapse ワークスペースに対して Microsoft Entra 専用認証を要求して構成し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
| Synapse ワークスペースには Microsoft Entra 専用認証が必要である | Synapse ワークスペースに対して Microsoft Entra 専用認証を要求し、ローカル認証方法を無効にします。 これにより、Microsoft Entra ID を介したアクセスのみが許可され、MFA、SSO、マネージド ID を使用したプログラムによるシークレットレスのアクセスなどの最新の認証拡張機能によってセキュリティが強化されます。 | 2 | 1.0.0 |
タグ
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| リソースに特定のタグがないことを確認します。 | 指定されたタグを含むリソースの作成を拒否します。 リソース グループには適用されません。 | 1 | 2.0.0 |
トラステッド起動
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: トラステッド起動が有効な VM でゲスト構成証明を有効にするように前提条件を構成する | ゲスト構成証明拡張機能を自動的にインストールし、システム割り当てのマネージド ID を有効にすることで Azure Security Center でブート整合性を予防的に証明し、監視できるよう、トラステッド起動が有効な仮想マシンを構成します。 リモート構成証明により、ブートの整合性が証明されます。 詳細については、リンク https://aka.ms/trustedlaunch を参照してください | 7 | 3.0.0-preview |
VirtualEnclaves
| 名前 | 説明 | ポリシー | Version |
|---|---|---|---|
| [プレビュー]: 仮想エンクレーブでの AKS の使用を制御する | このイニシアチブでは、AKS 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの App Service の使用を制御する | このイニシアチブでは、App Service 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Container Registry の使用を制御する | このイニシアチブでは、Container Registry 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの CosmosDB の使用を制御する | このイニシアチブでは、CosmosDB 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの特定のリソースの診断設定の使用を制御する | このイニシアチブでは、Azure Virtual Enclaves で特定のリソースの種類を構成できるように Azure ポリシーがデプロイされます。 https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Key Vault の使用を制御する | このイニシアチブでは、Key Vault 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Microsoft SQL の使用を制御する | このイニシアチブでは、Microsoft SQL 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの PostgreSQL の使用を制御する | このイニシアチブでは、PostgreSQL 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでの Service Bus の使用を制御する | このイニシアチブでは、Service Bus 用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [プレビュー]: 仮想エンクレーブでのストレージ アカウントの使用を制御する | このイニシアチブでは、ストレージ アカウント用の Azure ポリシーをデプロイし、このリソースが Azure Virtual Enclaves の論理的に分離された構造内で動作している間、このリソースの境界保護を確保します。 https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
次のステップ
- Azure Policy GitHub リポジトリのビルトインを参照します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。