Azure Policy の組み込みのポリシー定義

このページは、Azure Policy の組み込みのポリシー定義のインデックスです。

各組み込みの名前は、Azure portal のポリシー定義にリンクしています。 [ソース] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。 組み込みは、メタデータ 内の カテゴリ プロパティによってグループ化されます。 特定の カテゴリ にジャンプするには、ページの右側にあるメニューを使用します。 それ以外では、Ctrl-F キーを押して、ブラウザーの検索機能を使用してください。

API for FHIR

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure API for FHIR に格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 audit、disabled 1.0.1
Azure API for FHIR ではプライベート リンクを使用する必要がある Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 Audit、Disabled 1.0.0
CORS で API for FHIR へのアクセスをすべてのドメインには許可しない クロス オリジン リソース共有 (CORS) で API for FHIR へのアクセスをすべてのドメインに許可することは避けます。 API for FHIR を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 audit、disabled 1.0.0

API Management

名前
(Azure portal)
説明 効果 Version
(GitHub)
API Management サービスで仮想ネットワークをサポートする SKU を使用する必要がある API Management のサポートされている SKU を使用して、仮想ネットワークにサービスをデプロイすると、高度な API Management ネットワークとセキュリティ機能のロックが解除されるため、ネットワーク セキュリティの構成をより細かく制御できます。 詳細については、https://aka.ms/apimvnet を参照してください。 Audit、Deny、Disabled 1.0.0
API Management サービスではパブリック ネットワーク アクセスを無効にする必要がある API Management サービスのセキュリティを向上させるために、エンドポイントがパブリック インターネットに公開されていないことを確認します。 一部のパブリック エンドポイントは、管理 API への直接アクセス、Git を使用した構成の管理、セルフホステッド ゲートウェイ構成などのユーザー シナリオをサポートするために、API Management サービスによって公開されます。 これらの機能をいずれも使用していない場合は、対応するエンドポイントを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
API Management サービスには仮想ネットワークが使用されている必要がある Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 Audit、Disabled 1.0.1
パブリック ネットワーク アクセスを無効にするように API Management サービスを構成する API Management サービスのセキュリティを向上させるために、パブリック エンドポイントを無効にします。 一部のパブリック エンドポイントは、管理 API への直接アクセス、Git を使用した構成の管理、セルフホステッド ゲートウェイ構成などのユーザー シナリオをサポートするために、API Management サービスによって公開されます。 これらの機能をいずれも使用していない場合は、対応するエンドポイントを無効にする必要があります。 DeployIfNotExists、Disabled 1.0.0

App Configuration

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Configuration でパブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 Audit、Deny、Disabled 1.0.0
App Configuration はカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーは、暗号化キーを管理できるようにすることで、データ保護を強化します。 これは、多くの場合、コンプライアンス要件を満たすために必要となります。 Audit、Deny、Disabled 1.1.0
App Configuration ではプライベート リンクをサポートする SKU を使用する必要がある サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 Audit、Deny、Disabled 1.0.0
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.2
App Configuration ストアでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、App Configuration ストアで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 Audit、Deny、Disabled 1.0.0
ローカル認証方法を無効にするように App Configuration ストアを構成する ローカルの認証方法を無効にして、App Configuration ストアで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2161954 を参照してください。 Modify、Disabled 1.0.0
App Configuration でパブリック ネットワーク アクセスを無効に構成する App Configuration のパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 Modify、Disabled 1.0.0
App Configuration に接続されているプライベート エンドポイントのプライベート DNS ゾーンを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、アプリ構成インスタンスを解決することができます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
App Configuration のプライベート エンドポイントの構成 プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0

アプリ プラットフォーム

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: 分散トレースが有効になっていない Azure Spring Cloud インスタンスを監査する Azure Spring Cloud の分散トレース ツールを使用すると、アプリケーション内のマイクロサービス間の複雑な相互接続のデバッグと監視が可能になります。 分散トレース ツールを有効にして、正常な状態にしてください。 Audit、Disabled 1.0.0-preview
Azure Spring Cloud でネットワークの挿入を使用する必要がある Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 Audit, Disabled, Deny 1.0.0

App Service

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリには HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit、Disabled 1.0.0
API アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある API アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 1.0.0
App Service アプリを仮想ネットワークに導入する必要がある App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 Audit、Deny、Disabled 1.0.0
App Service アプリでは、Azure 仮想ネットワークに対する RFC 1918 以外の送信トラフィックを有効にする必要がある 既定では、リージョンの Azure Virtual Network (VNET) 統合が使用される場合、アプリでは、そのそれぞれの仮想ネットワークにのみ RFC1918 トラフィックが送信されます。 API を使用して "vnetRouteAllEnabled" を true に設定すると、Azure Virtual Network へのすべての送信トラフィックが有効になります。 この設定では、App Service アプリから送信されるあらゆるトラフィックで、ネットワーク セキュリティ グループやユーザー定義ルートなどの機能を利用できます。 AuditIfNotExists、Disabled 1.0.0
App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 Audit、Deny、Disabled 1.0.0
パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある App Service Environment にデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワークで IP アドレスを使用して App Service Environment をデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environment を内部ロード バランサーと共にデプロイする必要があります。 Audit、Deny、Disabled 1.0.0
App Service Environment は最強の TLS 暗号スイートを使用して構成する必要がある App Service Environment が正常に機能するために必要な、最小と最強の 2 つの暗号スイートは次のとおりです: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 および TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 Audit、Disabled 1.0.0
App Service Environment は最新バージョンでプロビジョニングする必要がある App Service Environment バージョン 2 またはバージョン 3 のプロビジョニングのみを許可します。 以前のバージョンの App Service Environment では、Azure リソースを手動で管理する必要があり、スケーリングにより大きな制限があります。 Audit、Deny、Disabled 1.0.0
App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 TLS 1.0 と 1.1 の受信トラフィックを無効にすると、App Service Environment でアプリを守ることになります。 Audit、Deny、Disabled 2.0.0
App Service Environment では内部暗号化を有効にする必要がある InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 Audit、Disabled 1.0.0
App Service では、FTP デプロイに対してローカル認証方法を無効にする必要がある ローカル認証方法を無効にして、App Service の認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.0
App Service では、SCM サイト デプロイに対してローカル認証方法を無効にする必要がある ローカル認証方法を無効にして、App Service の認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.0
App Service ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
App Service スロットでは、FTP デプロイに対してローカル認証方法を無効にする必要がある ローカル認証方法を無効にして、App Service スロットの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.0
App Service スロットでは、SCM サイト デプロイに対してローカル認証方法を無効にする必要がある ローカル認証方法を無効にして、App Service スロットの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 AuditIfNotExists、Disabled 1.0.0
App Services では公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.0
API アプリで認証が有効になっている必要がある Azure App Service 認証は、匿名の HTTP 要求が API アプリに到達するのを防いだり、トークンを保持するものを API アプリへの到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.0
関数アプリで認証が有効になっている必要がある Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.0
Web アプリで認証が有効になっている必要がある Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.0
FTP デプロイに対するローカル認証を無効にするように App Service スロットを構成する。 FTP デプロイのローカル認証方法を無効にして、App Services スロットの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.0
SCM サイトに対するローカル認証を無効にするように App Service スロットを構成する。 SCM サイトのローカル認証方法を無効にして、App Services スロットの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.0
SCM サイトに対するローカル認証を無効にするように App Service を構成する。 SCM サイトのローカル認証方法を無効にして、App Services の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.0
FTP デプロイに対するローカル認証を無効にするように App Service を構成する。 FTP デプロイのローカル認証方法を無効にして、App Services の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 DeployIfNotExists、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように App Services を構成する App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように App Services を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークが App Service にリンクされます。 詳細については、https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns を参照してください。 DeployIfNotExists、Disabled 1.0.0
CORS で API アプリへのアクセスをすべてのリソースには許可しない クロス オリジン リソース共有 (CORS) では、API アプリへのアクセスをすべてのドメインには許可しないでください。 API アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 1.0.0
CORS で関数アプリへのアクセスをすべてのリソースには許可しない クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 1.0.0
CORS で、Web アプリケーションへのアクセスをすべてのリソースには許可しない クロス オリジン リソース共有 (CORS) で、Web アプリケーションへのアクセスをすべてのドメインには許可しないでください。 Web アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 1.0.0
App Services における診断ログを有効にする必要がある アプリ上で診断ログが有効になっているかどうかを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 2.0.0
API アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 Audit、Disabled 1.0.0
API アプリの実行に使用される "HTTP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
関数アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
API アプリの一部として使用される "Java のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Java の新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
関数アプリの一部として使用された "Java のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
Web アプリの一部として使用された "Java のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の Java バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
API アプリの一部として使用される "PHP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の PHP バージョンを API アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.1.0
Web アプリの一部として使用された "PHP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の PHP バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.1.0
API アプリの一部として使用される "Python のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
関数アプリの一部として使用された "Python のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
Web アプリの一部として使用された "Python のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 Audit、Disabled 1.0.0
API アプリでは FTPS のみを必須とする セキュリティを強化するために FTPS 強制を有効にします AuditIfNotExists、Disabled 2.0.0
関数アプリでは FTPS のみを必須とする セキュリティを強化するために FTPS 強制を有効にします AuditIfNotExists、Disabled 2.0.0
Web アプリでは FTPS を必須とする セキュリティを強化するために FTPS 強制を有効にします AuditIfNotExists、Disabled 2.0.0
Function App には HTTPS 経由でのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit、Disabled 1.0.0
関数アプリでは、"クライアント証明書 (着信クライアント証明書)" が有効になっている必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Audit、Disabled 1.0.1
関数アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 1.0.0
API アプリでは最新の TLS バージョンを使用する必要がある 最新の TLS バージョンにアップグレードします AuditIfNotExists、Disabled 1.0.0
関数アプリでは最新の TLS バージョンを使用する必要がある 最新の TLS バージョンにアップグレードします AuditIfNotExists、Disabled 1.0.0
Web アプリでは最新の TLS バージョンを使用する必要がある 最新の TLS バージョンにアップグレードします AuditIfNotExists、Disabled 1.0.0
API アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 2.0.0
関数アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 2.0.0
Web アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 2.0.0
API アプリでリモート デバッグを無効にする必要がある リモート デバッグを実行するには、受信ポートが API アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
関数アプリでリモート デバッグを無効にする必要がある リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Web アプリケーションのリモート デバッグを無効にする リモート デバッグを実行するには、受信ポートが Web アプリケーション上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
App Services のリソース ログを有効にする必要がある アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 1.0.0
Web アプリケーションには HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit、Disabled 1.0.0
Web アプリでは、そのコンテンツ ディレクトリに Azure ファイル共有を使用する必要がある Web アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 アプリ サービス コンテンツをホスティングするための Azure Files の使用の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594 を参照してください。 Audit、Disabled 1.0.0

構成証明

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Attestation プロバイダーはプライベート エンドポイントを使用する必要がある プライベート エンドポイントを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Attestation プロバイダーを Azure リソースに接続できます。 プライベート エンドポイントは、パブリック アクセスを防止することにより、望ましくない匿名アクセスから保護するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0

自動管理

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Automanage にオンボードするように仮想マシンを構成する Azure Automanage では、Azure の Microsoft クラウド導入フレームワークで定義されているように、ベスト プラクティスで仮想マシンの登録、構成、監視を行うことができます。 このポリシーを使用して、選択したスコープに自動管理を適用します。 DeployIfNotExists、Disabled 4.1.0

Automation

名前
(Azure portal)
説明 効果 Version
(GitHub)
Automation アカウント変数は、暗号化する必要がある 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です Audit、Deny、Disabled 1.1.0
Automation アカウントで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Automation アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようになるため、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、[https://aka.ms/automation-cmk](../../../../articles/automation/automation-secure-asset-encryption.md#:~:text=Secure assets in Azure Automation include credentials, certificates, connections,,Using Microsoft-managed keys) をご覧ください。 Audit、Deny、Disabled 1.0.0
ローカル認証を無効にするように Azure Automation アカウントを構成する ローカル認証方法を無効にして、Azure Automation アカウントの認証で Azure Active Directory の ID のみが要求されるようにします。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Azure Automation アカウントを構成する Azure Automation アカウントの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 この構成は、データ漏えいリスクへの対策として役立ちます。 代わりにプライベート エンドポイントを作成することによって、Automation アカウント リソースの露出を制限することができます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用して Azure Automation アカウントを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Private Link を使用して Azure Automation アカウントに接続するには、プライベート DNS ゾーンが適切に構成されている必要があります。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Automation アカウントでのプライベート エンドポイント接続の構成 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 DeployIfNotExists、Disabled 1.0.0
Automation アカウントでプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Automation アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Automation でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/automation/how-to/private-link-security を参照してください。 AuditIfNotExists、Disabled 1.0.0

Azure Active Directory

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Active Directory Domain Services managed domains should use TLS 1.2 only mode (Azure Active Directory Domain Services マネージド ドメインで TLS 1.2 専用モードを使用する必要がある) マネージド ドメインに対して TLS 1.2 専用モードを使用します。 既定では、Azure AD Domain Services で、NTLM v1 や TLS v1 などの暗号を使用できます。 これらの暗号は、一部のレガシ アプリケーションで必要になる場合がありますが、脆弱と見なされており、不要であれば無効にできます。 TLS 1.2 専用モードが有効になっている場合、TLS 1.2 を使用せずに要求を行うクライアントはすべて失敗します。 詳細については、https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain をご覧ください。 Audit、Deny、Disabled 1.1.0

Azure Data Explorer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Data Explorer における保存時の暗号化でカスタマー マネージド キーを使用する必要がある Azure Data Explorer クラスターでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、特別なコンプライアンス要件を持つ顧客に適用でき、キーの管理に Key Vault を必要とします。 Audit、Deny、Disabled 1.0.0
Azure Data Explorer でディスク暗号化を有効にする必要がある ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 Audit、Deny、Disabled 2.0.0
Azure Data Explorer で二重暗号化を有効にする必要がある 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Audit、Deny、Disabled 2.0.0
Azure Data Explorer に対して仮想ネットワークの挿入を有効にする必要がある ネットワーク セキュリティ グループ規則を適用し、オンプレミスで接続し、サービス エンドポイントを使用してデータ接続ソースのセキュリティで保護できるようにする、仮想ネットワークの挿入によってネットワーク境界をセキュリティで保護します。 Audit、Deny、Disabled 1.0.0

Azure Edge Hardware Center

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Edge Hardware Center デバイスで二重暗号化サポートを有効にする必要がある Azure Edge Hardware Center からオーダーされたデバイスで、二重暗号化サポートが有効になっていることを確認し、デバイスの保存データを保護します。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 Audit、Deny、Disabled 1.0.0

Azure Stack Edge

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Stack Edge デバイスは二重暗号化を使用する必要がある デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 audit、deny、disabled 1.0.0

バックアップ

名前
(Azure portal)
説明 効果 Version
(GitHub)
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 AuditIfNotExists、Disabled 2.0.0
[プレビュー]: Azure Recovery Services vaults should use customer-managed keys for encrypting backup data (Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある) カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 Audit、Disabled 2.0.0-preview
特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 https://aka.ms/AzureVMAppCentricBackupIncludeTagに関するページを参照してください。 deployIfNotExists、auditIfNotExists、disabled 3.0.0
特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 https://aka.ms/AzureVMCentralBackupIncludeTagに関するページを参照してください。 deployIfNotExists、auditIfNotExists、disabled 3.0.0
特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 https://aka.ms/AzureVMAppCentricBackupExcludeTagに関するページを参照してください。 deployIfNotExists、auditIfNotExists、disabled 3.0.0
特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 https://aka.ms/AzureVMCentralBackupExcludeTagに関するページを参照してください。 deployIfNotExists、auditIfNotExists、disabled 3.0.0
[プレビュー]: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 DeployIfNotExists、Disabled 1.0.1-preview
リソース固有のカテゴリの Log Analytics ワークスペースに Recovery Services コンテナーの診断設定をデプロイする。 リソース固有のカテゴリの Log Analytics ワークスペースにストリーム配信する Recovery Services コンテナーの診断設定をデプロイします。 リソース固有のカテゴリのいずれかが有効になっていない場合は、新しい診断設定が作成されます。 deployIfNotExists 1.0.2

Batch

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/Batch-CMK をご覧ください。 Audit、Deny、Disabled 1.0.1
Azure Batch プールでディスク暗号化を有効にする必要があります Azure Batch ディスクの暗号化を有効にすると、データは常に Azure Batch 計算ノードで保存時に暗号化されます。 https://docs.microsoft.com/azure/batch/disk-encryption での Batch ディスク暗号化について確認してください。 Audit, Disabled, Deny 1.0.0
Batch アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Batch アカウントで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/batch/auth を参照してください。 Audit、Deny、Disabled 1.0.0
Batch アカウントを構成してローカル認証を無効にする ローカル認証方法を無効にして、Batch アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/batch/auth を参照してください。 Modify、Disabled 1.0.0
プライベート エンドポイントを使用して Batch アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Batch アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - Batch アカウントに接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 DeployIfNotExists、Disabled 1.0.0
Batch アカウントでメトリック アラート ルールを構成する必要がある 必須メトリックを有効にするための Batch アカウントにおけるメトリック アラート ルールの構成を監査します AuditIfNotExists、Disabled 1.0.0
Batch アカウントでプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 AuditIfNotExists、Disabled 1.0.0
Batch アカウントでは公衆ネットワーク アクセスを無効にする必要がある Batch アカウントで公衆ネットワーク アクセスを無効にすると、プライベート エンドポイントからのみ Batch アカウントにアクセスできるようになるため、セキュリティが向上します。 公衆ネットワーク アクセスを無効にする方法の詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 Audit、Deny、Disabled 1.0.0
Batch アカウントのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

ボット サービス

名前
(Azure portal)
説明 効果 Version
(GitHub)
Bot Service エンドポイントは有効な HTTPS URI である必要がある データは送信中に改ざんされる可能性があります。 誤用や改ざんの問題に対処する暗号化を提供するプロトコルが存在します。 確実に暗号化されたチャンネルでのみボットが通信を行うように、エンドポイントを有効な HTTPS URI に設定してください。 そうすることで、HTTPS プロトコルを使用して転送中のデータが確実に暗号化されます。また、これは多くの場合、規制や業界標準に準拠するための要件でもあります。 https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines を参照してください。 audit、deny、disabled 1.0.1
Bot Service は、カスタマー マネージド キーを使用して暗号化する必要がある Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft マネージド暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるには、カスタマー マネージド キーを選択します。これは、Bring Your Own Key (BYOK) とも呼ばれます。 Azure Bot Service 暗号化の詳細については、https://docs.microsoft.com/azure/bot-service/bot-service-encryption を参照してください。 audit、deny、disabled 1.0.0
Bot Service で分離モードが有効になっている必要があります ボットは "分離のみ" モードに設定されている必要があります。 この設定により、パブリック インターネット経由のトラフィックを必要とする Bot Service チャンネルは無効となるように構成されます。 audit、deny、disabled 1.0.0
Bot Service では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、ボットが認証のために AAD のみ使用するようになり、セキュリティが強化されます。 Audit、Deny、Disabled 1.0.0
BotService リソースでは、プライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが軽減されます。 Audit、Disabled 1.0.0
プライベート DNS ゾーンを使用するように BotService リソースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、BotService 関連リソースに解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して BotService リソースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 BotService リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクを軽減できます。 DeployIfNotExists、Disabled 1.0.0

キャッシュ

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cache for Redis でパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cache for Redis が露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって Azure Cache for Redis の露出を制限することができます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cache for Redis は仮想ネットワーク内に存在しなければならない Azure Virtual Network のデプロイでは、Azure Cache for Redis のためにセキュリティと分離が強化され、アクセスをさらに制限するためのサブネットやアクセス制御ポリシーなどの機能が提供されます。Azure Cache for Redis インスタンスが仮想ネットワークで構成されている場合、パブリック アドレスの指定ができず、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできます。 Audit、Deny、Disabled 1.0.3
Azure Cache for Redis でプライベート リンクを使用する必要がある プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように Azure Cache for Redis を構成する Azure Cache for Redis リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これは、データ漏えいのリスクからキャッシュを保護するのに役立ちます。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Cache for Redis を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cache for Redis を解決することができます。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Cache for Redis を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/redis/privateendpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します Audit、Deny、Disabled 1.0.0

Cognitive Services

名前
(Azure portal)
説明 効果 Version
(GitHub)
Cognitive Services アカウントでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Cognitive Services アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成することで、Cognitive Services アカウントの露出を制限できます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Audit、Deny、Disabled 2.0.0
Cognitive Services アカウントでカスタマー マネージド キーによるデータ暗号化を有効にする必要がある 規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用して、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 カスタマー マネージド キーの詳細については、https://go.microsoft.com/fwlink/?linkid=2121321 をご覧ください。 Audit、Deny、Disabled 2.0.0
Cognitive Services アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Cognitive Services アカウントで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/cs/auth を参照してください。 Audit、Deny、Disabled 1.0.0
Cognitive Services アカウントでネットワーク アクセスを制限する必要がある Cognitive Services アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみが Cognitive Services アカウントにアクセスできるように、ネットワーク ルールを構成します。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に、アクセス権を付与できます。 Audit、Deny、Disabled 2.0.0
Cognitive Services アカウントではマネージド ID を使用する必要がある マネージド ID を Cognitive Service アカウントに割り当てると、安全な認証を確実に行うことができます。 この ID は、この Cognitive Service アカウントが、資格情報を管理しなくても、安全な方法で Azure Key Vault などの他の Azure サービスと通信するために使用されます。 Audit、Deny、Disabled 1.0.0
Cognitive Services アカウントで顧客所有のストレージを使用する必要がある Cognitive Services の保存データは、顧客所有のストレージを使用して制御します。 顧客所有のストレージの詳細については、https://aka.ms/cogsvc-cmk を参照してください。 Audit、Deny、Disabled 2.0.0
Cognitive Services ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Audit、Disabled 2.0.0
ローカル認証方法を無効にするように Cognitive Services アカウントを構成する ローカル認証方法を無効にして、Cognitive Services アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/cs/auth を参照してください。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Cognitive Services アカウントを構成する Cognitive Services リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Disabled、Modify 2.0.0
プライベート DNS ゾーンを使用するように Cognitive Services アカウントを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Cognitive Services アカウントに解決されるようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2110097 を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Cognitive Services アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 DeployIfNotExists、Disabled 2.0.0

Compute

名前
(Azure portal)
説明 効果 Version
(GitHub)
許可されている仮想マシン サイズ SKU このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 拒否 1.0.1
ディザスター リカバリーを構成されていない仮想マシンの監査 ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 auditIfNotExists 1.0.0
Managed Disks を使用していない VM の監査 このポリシーは、マネージド ディスクを使用していない VM を監査します 監査 1.0.0
レプリケーションを有効にして、仮想マシンでのディザスター リカバリーを構成する ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 DeployIfNotExists、Disabled 1.2.0
プライベート DNS ゾーンを使用するように、ディスク アクセス リソースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、マネージド ディスクに解決されます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用してディスク アクセス リソースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをディスク アクセス リソースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する マネージド ディスク リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 Modify、Disabled 1.0.0
Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ このポリシーでは、VM にマルウェア対策の拡張機能が構成されていない場合に、既定の構成で Microsoft IaaSAntimalware 拡張機能をデプロイします。 deployIfNotExists 1.0.0
ディスク アクセス リソースにはプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 AuditIfNotExists、Disabled 1.0.0
マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 Audit、Deny、Disabled 1.0.0
マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 Audit、Disabled 1.0.0
マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、https://aka.ms/disks-cmk をご覧ください。 Audit、Deny、Disabled 2.0.0
Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 AuditIfNotExists、Disabled 1.0.0
Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 AuditIfNotExists、Disabled 1.0.0
インストールする必要があるのは、許可されている VM 拡張機能のみ このポリシーは、承認されていない仮想マシン拡張機能を制御します。 Audit、Deny、Disabled 1.0.0
OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 Audit、Deny、Disabled 2.0.0
Virtual Machine Scale Sets で自動 OS イメージ パッチ適用が必要 このポリシーは、Virtual Machine Scale Sets での自動 OS イメージ パッチ適用を有効にし、最新のセキュリティ修正プログラムを毎月安全に適用することによって、常に Virtual Machines を保護します。 deny 1.0.0
Virtual Machine Scale Sets のリソース ログを有効にする必要がある インシデントやセキュリティ侵害が発生して調査が必要になった場合に活動証跡を再作成できるように、ログを有効にすることをお勧めします。 AuditIfNotExists、Disabled 2.0.1
アタッチされていないディスクを暗号化する必要がある このポリシーは、アタッチされていないディスクで、暗号化が有効でないものすべてを監査します。 Audit、Disabled 1.0.0
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 Audit、Deny、Disabled 1.0.0
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります Audit、Deny、Disabled 1.0.0

コンテナー インスタンス

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Container Instance コンテナー グループを仮想ネットワークにデプロイする必要がある Azure 仮想ネットワークを使用して、コンテナー間の通信をセキュリティで保護します。 仮想ネットワークを指定すると、仮想ネットワーク内のリソースが相互に安全かつプライベートに通信できるようになります。 Audit, Disabled, Deny 1.0.0
Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 Audit, Disabled, Deny 1.0.0

Container Registry

名前
(Azure portal)
説明 効果 Version
(GitHub)
コンテナー レジストリを構成して、ローカルの認証を無効にします。 コンテナー レジストリで排他的に Azure Active Directory ID を認証専用で求めるように、ローカル認証方法を無効にします。 詳細は、https://aka.ms/acr/authentication で参照してください。 Modify、Disabled 1.0.0
パブリック ネットワーク アクセスが無効になるようにコンテナー レジストリを構成する Container Registry リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するようにコンテナー レジストリを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Container Registry を解決するために、仮想ネットワークにリンクします。 詳細情報: https://aka.ms/privatednszone および https://aka.ms/acr/private-link DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用してコンテナー レジストリを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Premium Container Registry リソースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細情報: https://aka.ms/privateendpoints および https://aka.ms/acr/private-link DeployIfNotExists、Disabled 1.0.0
コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 Audit、Deny、Disabled 1.1.2
コンテナー レジストリではエクスポートを無効にする必要があります エクスポートを無効にすると、データプレーン (' docker pull ') を介してのみレジストリ内のデータにアクセスできるようになるため、セキュリティが強化されます。 'acr import' または ' acr transfer ' を使用して、レジストリからデータを移動することはできません。 エクスポートを無効にするには、公衆ネットワーク アクセスを無効にする必要があります。 詳細については、https://aka.ms/acr/export-policy を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリは、ローカル認証メソッドが無効にされている必要があります。 ローカル認証方法を無効にすると、コンテナー レジストリで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/acr/authentication を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリにはプライベート リンクをサポートする SKU が必要である Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなくコンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のパブリック IP アドレスまたはアドレス範囲のみからのアクセスを許可します。 レジストリに IP またはファイアウォール規則、あるいは構成済みの仮想ネットワークがない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet を参照してください。 Audit、Deny、Disabled 1.1.0
コンテナー レジストリではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 Audit、Disabled 1.0.1
コンテナー レジストリに対してパブリック ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットにコンテナー レジストリが露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、コンテナー レジストリ リソースの公開を制限することができます。 詳細情報: https://aka.ms/acr/portal/public-network および https://aka.ms/acr/private-link Audit、Deny、Disabled 1.0.0

Cosmos DB

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 Audit、Deny、Disabled 2.0.0
Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 audit、deny、disabled 1.0.2
Azure Cosmos DB が許可されている場所 このポリシーでは、Azure Cosmos DB リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 [parameters('policyEffect')] 1.0.0
Azure Cosmos DB キー ベースのメタデータ書き込みアクセスを無効にする必要がある このポリシーを使用すると、すべての Azure Cosmos DB アカウントでキー ベースのメタデータ書き込みアクセスを無効にすることができます。 append 1.0.0
Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cosmos DB のスループットを制限する必要がある このポリシーを使用すると、Azure Cosmos DB データベースとコンテナーをリソースプロバイダーを介して作成するときに、組織で指定できる最大スループットを制限できます。 自動スケーリング リソースの作成をブロックします。 audit、deny、disabled 1.0.0
ローカル認証を無効にするように Cosmos DB データベース アカウントを構成する ローカル認証方法を無効にして、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように CosmosDB アカウントを構成する CosmosDB リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように CosmosDB アカウントを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、CosmosDB アカウントを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して CosmosDB アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを CosmosDB アカウントにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 Audit、Deny、Disabled 1.0.0
CosmosDB アカウントでプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 Audit、Disabled 1.0.0
Cosmos DB アカウントの Advanced Threat Protection のデプロイ このポリシーを使用して、Cosmos DB アカウント全体で Advanced Threat Protection を有効にすることができます。 DeployIfNotExists、Disabled 1.0.0

カスタム プロバイダー

名前
(Azure portal)
説明 効果 Version
(GitHub)
カスタム プロバイダーの関連付けのデプロイ 選択したリソースの種類を指定したカスタム プロバイダーに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 deployIfNotExists 1.0.0

Data Box

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 Audit、Deny、Disabled 1.0.0
Azure Data Box ジョブは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要がある Azure Data Box に使用するデバイスのロック解除パスワードの暗号化は、カスタマー マネージド キーを使用して管理してください。 また、デバイスの準備とデータのコピーを自動化する目的で、デバイスのロック解除パスワードに対する Data Box サービスのアクセスを管理する際にも、カスタマー マネージド キーが役立ちます。 デバイス上の保存データ自体は、あらかじめ Advanced Encryption Standard 256 ビット暗号化を使用して暗号化されており、また、デバイスのロック解除パスワードも既定で Microsoft マネージド キーを使用して暗号化されています。 Audit、Deny、Disabled 1.0.0

Data Factory

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 Audit、Deny、Disabled 1.0.1
[プレビュー]: Azure Data Factory 統合ランタイムにはコア数の制限が必要 リソースとコストを管理するために、統合ランタイムのコア数を制限します。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: Azure Data Factory のリンクされたサービスのリソースの種類は許可リストに含まれている必要がある Azure Data Factory のリンク サービスの種類の許可リストを定義します。 許可されるリソースの種類を制限することで、データ移動の境界を制御できます。 たとえば、分析用に Data Lake Storage Gen1 および Gen2 を使用する Blob Storage のみを許可するようにスコープを制限したり、リアルタイム クエリのために SQL および Kusto アクセスのみを許可するようにスコープを制限したりします。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: Azure Data Factory のリンクされたサービスでは、シークレットの保存に Key Vault を使用する必要がある シークレット (接続文字列など) を安全に管理できるようにするには、リンク サービスでシークレットをインラインで指定するのではなく、Azure Key Vault を使用してシークレットを提供するようにユーザーに要求します。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: Azure Data Factory のリンクされたサービスではシステム割り当てマネージド ID 認証を使用する必要がある (サポートされている場合) リンク サービスを介してデータ ストアと通信するときに、システム割り当てマネージド ID を使用すると、パスワードや接続文字列などの安全性の低い資格情報の使用を回避できます。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: Azure Data Factory ではソース管理のために Git リポジトリを使用する必要がある 変更の追跡、コラボレーション、継続的インテグレーション、デプロイなどの機能を利用するために、データ ファクトリでソース管理を有効にします。 Audit、Deny、Disabled 1.0.0-preview
Azure Data Factory にはプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするようにデータ ファクトリを構成する データ ファクトリのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 Modify、Disabled 1.0.0
Azure Data Factory に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する プライベート DNS レコードを使用すると、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Azure Data Factory へのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Data Factory でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0
データ ファクトリのプライベート エンドポイントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Data Factory のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Factory へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 Audit、Deny、Disabled 1.0.0
Azure Data Factory 上の SQL Server Integration Services 統合ランタイムでは仮想ネットワークに参加する必要がある Azure Virtual Network のデプロイでは、Azure Data Factory 上の SQL Server Integration Services 統合ランタイムのための強化されたセキュリティと分離、サブネット、アクセス制御ポリシーなど、アクセスをさらに制限するための機能を提供します。 Audit、Deny、Disabled 2.0.0

Data Lake

名前
(Azure portal)
説明 効果 Version
(GitHub)
Data Lake Store アカウントにおける暗号化が必要 このポリシーは、すべての Data Lake Store アカウントで暗号化を有効にします deny 1.0.0
Azure Data Lake Store のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Data Lake Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Event Grid

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Event Grid ドメインでは公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid ドメインでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Grid ドメインの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid ドメインではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Disabled 1.0.2
Azure Event Grid パートナー名前空間では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Grid パートナー名前空間の認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid トピックでは、公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid トピックでは、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure Event Grid トピックの認証で Azure Active Directory ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Event Grid トピックではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Disabled 1.0.2
ローカル認証を無効にするように Azure Event Grid ドメインを構成する ローカル認証方法を無効にして、Azure Event Grid ドメインの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Modify、Disabled 1.0.0
ローカル認証を無効にするように Azure Event Grid パートナー名前空間を構成する ローカル認証方法を無効にして、Azure Event Grid パートナー名前空間の認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Modify、Disabled 1.0.0
ローカル認証を無効にするように Azure Event Grid トピックを構成する ローカル認証方法を無効にして、Azure Event Grid トピックの認証で Azure Active Directory の ID のみが要求されるようにします。 詳細については、https://aka.ms/aeg-disablelocalauth を参照してください。 Modify、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid ドメインを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 deployIfNotExists、Disabled 1.0.0
デプロイ - プライベート エンドポイントを使用して Azure Event Grid ドメインを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように Azure Event Grid トピックを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 deployIfNotExists、Disabled 1.0.0
デプロイ - プライベート エンドポイントを使用して Azure Event Grid トピックを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをリソースにマッピングすることで、データ漏えいのリスクから保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid ドメインを構成する Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure Event Grid トピックを構成する Azure Event Grid リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由ではアクセスできないようにします。 これはデータ漏えいリスクへの対策となります。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Modify、Disabled 1.0.0

イベント ハブ

名前
(Azure portal)
説明 効果 Version
(GitHub)
イベント ハブの名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある イベント ハブ クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります Audit、Deny、Disabled 1.0.1
イベント ハブ インスタンスの承認規則を定義する必要があります 最小特権のアクセスを付与する承認規則がイベント ハブ エンティティに存在することを監査します AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するようにイベント ハブ名前空間を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、イベント ハブ名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用してイベント ハブ名前空間を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
Event Hub の名前空間では二重暗号化を有効にする必要があります 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Audit、Deny、Disabled 1.0.0
イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 Audit、Disabled 1.0.0
イベント ハブ名前空間でプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 AuditIfNotExists、Disabled 1.0.0
イベント ハブのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

全般

名前
(Azure portal)
説明 効果 Version
(GitHub)
許可される場所 このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。 deny 1.0.0
リソース グループが許可される場所 このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 deny 1.0.0
許可されるリソースの種類 このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 deny 1.0.0
リソースの場所がリソース グループの場所と一致することの監査 リソースの場所がそのリソース グループの場所と一致することを監査します 監査 2.0.0
カスタム RBAC 規則の使用監査 エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります Audit、Disabled 1.0.0
カスタム サブスクリプションの所有者ロールが作成されていないこと このポリシーでは、カスタム サブスクリプションの所有者ロールが存在しないことを確認します。 Audit、Disabled 2.0.0
許可されないリソースの種類 環境にデプロイできるリソースの種類を制限します。 リソースの種類を制限することで、環境の複雑さと攻撃対象領域を削減しつつ、コストの管理にも役立てるとができます。 コンプライアンス対応の結果は、準拠していないリソースについてのみ表示されます。 Audit、Deny、Disabled 2.0.0

ゲスト構成

名前
(Azure portal)
説明 効果 Version
(GitHub)
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 変更 1.0.0
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 変更 1.0.0
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります AuditIfNotExists、Disabled 1.0.0
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
指定されたアプリケーションがインストールされていない Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
パスワードなしのアカウントが存在する Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
指定されたアプリケーションがインストールされている Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 auditIfNotExists 3.0.0
Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
Windows マシンのネットワーク接続を監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
DSC 構成が準拠していない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus から、マシンの DSC 構成が準拠していないという情報が返された場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
指定されたサービスがインストールされて '実行中' になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-Service の結果に、ポリシー パラメーターの指定と一致する状態のサービス名が含まれていない場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
Windows Serial Console が有効になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 以前の 24 個のパスワードの再利用が許可されている Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
指定されたドメインに参加していない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
指定されたタイム ゾーンに設定されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 auditIfNotExists 1.0.0
指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 auditIfNotExists 1.0.1
パスワードの有効期間が 70 日になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パスワードの有効期間が 70 日になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
パスワードの変更禁止期間が 1 日になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パスワードの変更禁止期間が 1 日になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
指定された Windows PowerShell 実行ポリシーのない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy によって、ポリシー パラメーターで選択された値以外の値が返された場合、マシンは非準拠です。 AuditIfNotExists、Disabled 1.0.0
指定された Windows PowerShell モジュールがインストールされていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 AuditIfNotExists、Disabled 2.0.0
パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 パスワードの最小文字数が 14 文字に制限されていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります AuditIfNotExists、Disabled 1.0.0
指定されたアプリケーションがインストールされていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 アプリケーション名が次のどのレジストリ パスにも見つからない場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall auditIfNotExists 1.0.0
Administrators グループに余分なアカウントがある Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
指定した日数以内に再起動されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
指定されたアプリケーションがインストールされている Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 アプリケーション名が次のいずれかのレジストリ パスに見つかった場合、マシンは非準拠となります。HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall auditIfNotExists 1.0.0
Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 auditIfNotExists 1.0.0
再起動が保留中の Windows VM の監査 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 auditIfNotExists 1.0.0
Linux マシンに対する認証では SSH キーを要求する必要がある SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 AuditIfNotExists、Disabled 2.0.1
Windows マシンでタイム ゾーンを構成する。 このポリシーは、指定されたタイム ゾーンを Windows 仮想マシンに設定するためのゲスト構成の割り当てを作成します。 deployIfNotExists 1.1.0
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 deployIfNotExists 1.0.1
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 deployIfNotExists 1.0.1
[プレビュー]: Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 1.1.1-preview
Linux マシンには、許可されているローカル アカウントのみを指定する必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
ゲスト構成の割り当てのプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、仮想マシンのゲスト構成へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 "EnablePrivateNetworkGC" タグが割り当てられていない仮想マシンはコンプライアンス違反となります。 このタグにより、仮想マシンのゲスト構成に対して、プライベート接続によるセキュリティで保護された通信が適用されます。 プライベート接続では、既知のネットワークを送信元とするトラフィックにアクセスが限定され、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスが禁止されます。 Audit、Deny、Disabled 1.0.0
マシンで Windows Defender Exploit Guard を有効にする必要がある Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 AuditIfNotExists、Disabled 1.1.1
Windows マシンは [管理用テンプレート - コントロール パネル] の要件を満たしている必要がある Windows マシンには、入力の個人用設定とロック画面の有効化防止について、カテゴリ [管理用テンプレート - コントロール パネル] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [管理用テンプレート - MSS (レガシ)] の要件を満たしている必要がある Windows マシンには、自動ログオン、スクリーン セーバー、ネットワークの動作、安全な DLL、イベント ログについて、カテゴリ [管理用テンプレート - MSS (レガシ)] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [管理用テンプレート - ネットワーク] の要件を満たしている必要がある Windows マシンには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決について、カテゴリ [管理用テンプレート - ネットワーク] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [管理用テンプレート - システム] の要件を満たしている必要がある Windows マシンには、管理エクスペリエンスおよび Remote Assist を制御する設定について、カテゴリ [管理用テンプレート - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある Windows コンピューターでは、空白のパスワードとゲスト アカウント状態でのローカル アカウントの使用を制限するため、[セキュリティ オプション - アカウント] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある Windows マシンには、セキュリティ監査をログに記録できない場合に監査ポリシー サブカテゴリを強制的に適用してシャットダウンすることについて、カテゴリ [セキュリティ オプション - 監査] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - デバイス] の要件を満たしている必要がある Windows マシンには、ログオンなしのドッキング解除、プリント ドライバーのインストール、メディアのフォーマットと取り出しについて、カテゴリ [セキュリティ オプション - デバイス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク クライアント] の要件を満たしている必要がある Windows コンピューターには、Microsoft ネットワーク クライアントおよび SMB v1 について、カテゴリ [セキュリティ オプション - Microsoft ネットワーク クライアント] で設定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある Windows コンピューターでは、SMB v1 サーバーを無効にするため、[セキュリティ オプション - Microsoft ネットワーク サーバー] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある Windows マシンには、匿名ユーザーやローカル アカウントへのアクセスと、レジストリへのリモート アクセスを含むことについて、カテゴリ [セキュリティ オプション - ネットワーク アクセス] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある すべてのドライブおよびフォルダーのフロッピー コピーとアクセスを可能にするため、[セキュリティ オプション - 回復コンソール] カテゴリでグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - シャットダウン] の要件を満たしている必要がある Windows マシンには、ログオンなしのシャットダウンと仮想マシン ページファイルのクリアについて、カテゴリ [セキュリティ オプション - シャットダウン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - システム オブジェクト] の要件を満たしている必要がある Windows マシンには、Windows システムではないサブシステムのための大文字と小文字の区別をしないこと、および内部システム オブジェクトのアクセス許可について、カテゴリ [セキュリティ オプション - システム オブジェクト] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - システム設定] の要件を満たしている必要がある Windows マシンには、SRP およびオプションのサブシステム用の実行可能ファイルに関する証明書の規則について、カテゴリ [セキュリティ オプション - システム設定] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある Windows マシンには、管理者用のモード、昇格時のプロンプトの動作、ファイル仮想化とレジストリ書き込みのエラーについて、カテゴリ [セキュリティ オプション - ユーザー アカウント制御] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある Windows マシンには、パスワードの履歴、有効期間、長さ、複雑さ、暗号化を元に戻せる状態での保存について、カテゴリ [セキュリティ オプション - アカウント ポリシー] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - アカウント ログオン] の要件を満たしている必要がある Windows マシンには、資格情報の検証およびその他のアカウント ログオン イベントの監査について、カテゴリ [システム監査ポリシー - アカウント ログオン] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある Windows マシンには、アプリケーション、セキュリティ、ユーザー グループ管理、その他の管理イベントを監査することについて、カテゴリ [システム監査ポリシー - アカウント管理] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある Windows マシンには、DPAPI、プロセスの作成と終了、RPC イベント、PNP アクティビティを監査することについて、カテゴリ [システム監査ポリシー - 詳細追跡] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - ログオン/ログオフ] の要件を満たしている必要がある Windows マシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオンとログオンのイベントの監査について、カテゴリ [システム監査ポリシー - ログオン/ログオフ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - オブジェクト アクセス] の要件を満たしている必要がある Windows マシンには、ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、その他の種類のシステムに関する監査について、カテゴリ [システム監査ポリシー - オブジェクト アクセス] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある Windows マシンには、システム監査ポリシーの監査について、カテゴリ [システム監査ポリシー - ポリシーの変更] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある Windows マシンには、重要でない特権およびその他の特権の使用に関する監査について、カテゴリ [システム監査ポリシー - 特権の使用] で指定されているグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [システム監査ポリシー - システム] の要件を満たしている必要がある Windows マシンには、IPsec ドライバー、システムの整合性、システム拡張、状態変更、その他のシステム イベントの監査について、カテゴリ [システム監査ポリシー - システム] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある ローカル ログオン、RDP、ネットワークからのアクセス、その他多くのユーザー アクティビティを許可するため、Windows マシンでは、[ユーザー権利の割り当て] カテゴリに指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [Windows コンポーネント] の要件を満たしている必要がある Windows マシンには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、Windows のその他の動作について、カテゴリ [Windows コンポーネント] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 2.0.0
[プレビュー]: Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.1-preview
Windows マシンには、許可されているローカル アカウントのみを指定する必要がある 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 および 2012 R2 ではサポートされていません。 Azure Active Directory を使用したユーザー アカウントの管理は、ID 管理のベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 AuditIfNotExists、Disabled 1.0.0
Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある インターネット経由で通信する情報のプライバシーを保護するために、お客様の Web サーバーでは業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS によって、セキュリティ証明書を使用してマシン間の接続が暗号化されることにより、ネットワーク経由の通信がセキュリティで保護されます。 AuditIfNotExists、Disabled 3.0.0

HDInsight

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure HDInsight クラスターを仮想ネットワークに挿入する必要がある Azure HDInsight クラスターを仮想ネットワークに挿入すると、HDInsight の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成を制御できます。 Audit, Disabled, Deny 1.0.0
Azure HDInsight クラスターでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある カスタマー マネージド キーを使用して、Azure HDInsight クラスターの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/hdi.cmk をご覧ください。 Audit、Deny、Disabled 1.0.1
Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある ホストでの暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 Audit、Deny、Disabled 1.0.0
Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 Audit、Deny、Disabled 1.0.0

Healthcare API

名前
(Azure portal)
説明 効果 Version
(GitHub)
CORS で FHIR Service へのアクセスをすべてのドメインには許可しない クロス オリジン リソース共有 (CORS) で FHIR Service へのアクセスをすべてのドメインに許可することは避けます。 FHIR Service を保護するには、すべてのドメインのアクセス権を削除し、接続が許可されるドメインを明示的に定義します。 audit、disabled 1.0.0

モノのインターネット (IoT)

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure IoT Hub では、サービス API に対してローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure IoT Hub のサービス API 認証で Azure Active Directory ID のみを要求することによりセキュリティが向上します。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 Audit、Deny、Disabled 1.0.0
[プレビュー]: Azure IoT Hub での保存データの暗号化には、カスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して IoT Hub の保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、お客様よるキーの制御、カスタム ローテーション ポリシー、キー アクセス制御によるデータへのアクセスの管理が可能になります。 カスタマー マネージド キーは、IoT Hub の作成時に構成する必要があります。 カスタマー マネージド キーを構成する方法の詳細については、https://aka.ms/iotcmk を参照してください。 Audit、Deny、Disabled 1.0.0-preview
ローカル認証を無効にするように Azure IoT Hub を構成する ローカル認証方法を無効にして、Azure IoT Hub の認証で Azure Active Directory の ID のみを要求するようにします。 詳細については、https://aka.ms/iothubdisablelocalauth を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように IoT Hub デバイス プロビジョニング インスタンスを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、IoT Hub デバイス プロビジョニング サービス インスタンスを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように IoT Hub Device Provisioning Service インスタンスを構成する IoT Hub デバイス プロビジョニング インスタンスの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 Modify、Disabled 1.0.0
プライベート エンドポイントを使用して IoT Hub Device Provisioning Service インスタンスを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクを減らすことができます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - プライベート DNS ゾーンを使用するように Azure IoT ハブを構成する Azure プライベート DNS は、信頼性が高くセキュリティで保護された DNS サービスを提供し、カスタムの DNS ソリューションの追加を必要とせずに、仮想ネットワークでドメイン名を管理および解決します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 deployIfNotExists, disabled 1.0.0
デプロイ - プライベート エンドポイントを持つ Azure IoT ハブを構成する プライベート エンドポイントは、Azure リソースに到達可能な、顧客所有の仮想ネットワーク内に割り当てられたプライベート IP アドレスです。 このポリシーより、IoT ハブ用にプライベート エンドポイントがデプロイされ、IoT Hub のパブリック エンドポイントにトラフィックを送信しなくても、仮想ネットワーク内のサービスが IoT Hub に到達できるようにすることができます。 DeployIfNotExists、Disabled 1.0.0
[プレビュー]: IoT Hub Device Provisioning サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 Audit、Deny、Disabled 1.0.0-preview
IoT Hub Device Provisioning Service インスタンスで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、IoT Hub Device Provisioning Service インスタンスがパブリック インターネット上で公開されないようにすることで、セキュリティが強化されます。 プライベート エンドポイントを作成すると、IoT Hub デバイス プロビジョニング インスタンスの露出を制限できます。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 Audit、Deny、Disabled 1.0.0
IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 Audit、Disabled 1.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure IoT ハブを構成する 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 このポリシーにより、IoT Hub リソースでの公衆ネットワーク アクセスが無効になります。 Modify、Disabled 1.0.0
IoT Hub ではプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続では、IoT Hub へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 Audit、Disabled 1.0.0
Azure IoT Hub の公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
IoT Hub のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 3.0.1

Key Vault

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: Azure Key Vault Managed HSM で公衆ネットワーク アクセスを無効にする必要がある Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 Audit、Deny、Disabled 1.0.0-preview
Azure Key Vault Managed HSM で消去保護が有効になっている必要がある Azure Key Vault Managed HSM が悪意により削除されると、完全にデータが失われる可能性があります。 組織内の悪意のある内部関係者が、Azure Key Vault Managed HSM の削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除された Azure Key Vault Managed HSM に必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中に Azure Key Vault Managed HSM を消去することはできなくなります。 Audit、Deny、Disabled 1.0.0
[プレビュー]: Azure Key Vault Managed HSM はプライベート リンクを使用する必要がある プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Key Vault Managed HSM を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください Audit、Disabled 1.0.0-preview
[プレビュー]: Azure Key Vault should disable public network access (Azure Key Vault で公衆ネットワーク アクセスを無効にする必要がある) キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/akvprivatelink を参照してください。 Audit、Deny、Disabled 2.0.0-preview
[プレビュー]: Azure Key Vaults should use private link (Azure キー コンテナーでプライベート リンクを使用する必要がある) Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 Audit、Deny、Disabled 1.0.0-preview
証明書は、指定の統合された証明機関によって発行される必要がある Digicert または GlobalSign など、キー コンテナーで証明書を発行できる、Azure と統合された証明機関を指定して組織のコンプライアンス要件を管理します。 audit、deny、disabled 2.0.1
証明書は、指定の統合されていない証明機関によって発行される必要がある キー コンテナーで証明書を発行できるカスタムまたは内部の証明機関を指定して、組織のコンプライアンス要件を管理します。 audit、deny、disabled 2.0.1
証明書には、指定された有効期間アクション トリガーが必要である 証明書の有効期間アクションを、有効期間の特定の割合でトリガーするか、有効期限から指定した日数前にトリガーするかを指定して、組織のコンプライアンス要件を管理します。 audit、deny、disabled 2.0.1
[プレビュー]: 証明書には最長有効期間を指定する必要がある キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 audit、deny、disabled 2.1.0-preview
証明書は、指定された日数内に期限が切れてはいけない 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 audit、deny、disabled 2.0.1
証明書は、許可されたキーの種類を使用する必要がある 証明書に許可されるキーの種類を制限して、組織のコンプライアンス要件を管理します。 audit、deny、disabled 2.0.1
楕円曲線暗号を使用する証明書には、許可されている曲線名が必要である キー コンテナーに格納される ECC 証明書に対して許可されている楕円曲線名を管理します。 詳細については、https://aka.ms/akvpolicyをご覧ください。 audit、deny、disabled 2.0.1
RSA 暗号を使用する証明書に、キーの最小サイズを指定する必要がある キー コンテナーに格納される RSA 証明書の最小キー サイズを指定して、組織のコンプライアンス要件を管理します。 audit、deny、disabled 2.0.1
[プレビュー]: 公衆ネットワーク アクセスを無効にするように Azure Key Vault Managed HSM を構成する Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm を参照してください。 Modify、Disabled 1.0.0-preview
[プレビュー]: プライベート エンドポイントを使用して Azure Key Vault Managed HSM を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Key Vault Managed HSM にマッピングすることにより、データ漏えいのリスクを軽減できます。 詳細については、https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Configure Azure Key Vaults to use private DNS zones (プライベート DNS ゾーンを使用するように Azure キー コンテナーを構成する) プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、キー コンテナーに解決されるようにします。 詳細については、https://aka.ms/akvprivatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Configure Azure Key Vaults with private endpoints (プライベート エンドポイントを使用して Azure キー コンテナーを構成する) プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Configure key vaults to disable public network access (公衆ネットワーク アクセスを無効にするようにキー コンテナーを構成する) キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/akvprivatelink を参照してください。 Modify、Disabled 1.0.0-preview
デプロイ - Azure Key Vault の診断設定を Log Analytics ワークスペースに構成する リソース ログをストリーミングするための Azure Key Vault の診断設定を、この診断設定を持たないキー コンテナーが作成または更新されたときに、Log Analytics ワークスペースにデプロイします。 DeployIfNotExists、Disabled 1.0.1
デプロイ - Azure Key Vault Managed HSM で有効にする診断設定をイベント ハブに構成する Azure Key Vault Managed HSM の診断設定をデプロイして、この診断設定がない Azure Key Vault Managed HSM が作成または更新されたときに地域のイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Key Vault の診断設定をイベント ハブにデプロイする この診断設定がないキー コンテナーが作成または更新されたときに、Key Vault の診断設定をデプロイして、リージョンのイベント ハブにストリーム配信します。 deployIfNotExists 2.0.0
Key Vault キーには有効期限が必要である 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2
Key Vault シークレットには有効期限が必要である シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2
キー コンテナーで消去保護が有効になっている必要がある 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 組織内の悪意のある内部関係者が、キー コンテナーの削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 Audit、Deny、Disabled 2.0.0
キー コンテナーで論理的な削除が有効になっている必要がある 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 Audit、Deny、Disabled 2.0.0
ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 Audit、Deny、Disabled 1.0.1
キーは、特定の暗号化の種類 (RSA または EC) である必要がある 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 Audit、Deny、Disabled 1.0.1
キーの有効期限には、指定された日数より先の日付を指定する必要がある キーの有効期限が近すぎると、キーをローテーションする組織での遅延によって障害が発生するおそれがあります。 キーは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 Audit、Deny、Disabled 1.0.1
キーには最長有効期間を指定する必要がある キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 Audit、Deny、Disabled 1.0.1
指定された日数より長くキーをアクティブにすることはできない キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 Audit、Deny、Disabled 1.0.1
楕円曲線暗号を使用するキーに曲線名を指定する必要がある 楕円曲線暗号によってサポートされるキーには、さまざまな曲線名を指定できます。 一部のアプリケーションは、特定の楕円曲線キーとのみ互換性があります。 環境内での作成が許可されている楕円曲線キーの種類を適用してください。 Audit、Deny、Disabled 1.0.1
RSA 暗号を使用するキーにキーの最小サイズを指定する必要がある キー コンテナーで使用するキーの最小許容サイズを設定します。 小さいキー サイズの RSA キーを使用することは安全なプラクティスではなく、多くの業界認定要件を満たしません。 Audit、Deny、Disabled 1.0.1
[プレビュー:] キー コンテナーにはプライベート エンドポイントを構成する必要がある プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Key Vault を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 Audit、Deny、Disabled 1.1.0-preview
Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 AuditIfNotExists、Disabled 1.0.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
シークレットにはコンテンツの種類を設定する必要がある コンテンツの種類のタグは、シークレットの種類 (パスワードや接続文字列など) を識別するのに役立ちます。シークレットが異なれば、ローテーションの要件も異なります。 コンテンツの種類のタグは、シークレットに設定する必要があります。 Audit、Deny、Disabled 1.0.1
シークレットの有効期限は、指定された日数より先の日付を指定する必要がある シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 Audit、Deny、Disabled 1.0.1
シークレットには最長有効期間を指定する必要がある キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 Audit、Deny、Disabled 1.0.1
指定された日数より長くシークレットをアクティブにすることはできない シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 Audit、Deny、Disabled 1.0.1

Kubernetes

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要がある Azure Defender の Azure Arc 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のノードからデータを収集し、それを詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc」を参照してください。 AuditIfNotExists、Disabled 3.0.0-preview
[プレビュー]: Azure Kubernetes Service クラスターで Azure Defender プロファイルを有効にする必要がある Azure Defender for Kubernetes では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。
Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。
https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction で Azure Defender for Kubernetes に関する詳細情報を参照する
Audit、Disabled 1.0.0-preview
Azure Kubernetes Service クラスターでは、ローカル認証方法を無効にする必要があります ローカル認証方法を無効にすると、Azure Kubernetes Service クラスターの認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/aks-disable-local-accounts を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Kubernetes Service プライベート クラスターを有効にする必要がある Azure Kubernetes Service クラスターのプライベート クラスター機能を有効にして、API サーバーとノード プールの間のトラフィックがプライベート ネットワーク上のみに保持されるようにします。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.0
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 Audit、Disabled 1.0.2
Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.0
[プレビュー]: Azure Arc 対応 Kubernetes クラスターを構成して Azure Defender の拡張機能をインストールする Azure Defender の Azure Arc 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc」を参照してください。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: Azure Kubernetes Service クラスターを構成して Azure Defender プロファイルを有効にする Azure Defender for Kubernetes では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。
Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。
https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction で Azure Defender for Kubernetes に関する詳細情報を確認してください。
DeployIfNotExists、Disabled 1.0.0-preview
HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 deployIfNotExists、auditIfNotExists、disabled 1.0.0
シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 deployIfNotExists、auditIfNotExists、disabled 1.0.0
SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 deployIfNotExists、auditIfNotExists、disabled 1.0.0
デプロイ - Azure Kubernetes Service の診断設定を Log Analytics ワークスペースに構成する リソース ログをストリーミングするための Azure Kubernetes Service の診断設定を Log Analytics ワークスペースにデプロイします。 DeployIfNotExists、Disabled 1.0.0
Azure Policy アドオンを Azure Kubernetes Service クラスターにデプロイする Azure Policy アドオンを使用して、Azure Kubernetes Service (AKS) クラスターのコンプライアンスの状態を管理およびレポートします。 詳細については、https://aka.ms/akspolicydoc を参照してください。 deployIfNotExists 2.0.0
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 7.0.0
Kubernetes クラスター コンテナーでは、ホスト プロセス ID またはホスト IPC 名前空間を共有してはいけない ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.1
Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにコンテナーを制限します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.1.1
Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 7.0.0
Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 5.0.1
Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.1
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.2
Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的としたポッド セキュリティ ポリシーの一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.1
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.1
Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.0.0
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.1.1
Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.1
Kubernetes クラスターで特権コンテナーを許可しない Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 7.0.0
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS) と、AKS Engine および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 audit、deny、disabled 6.0.0
[プレビュー]: Kubernetes クラスターでは API 資格情報の自動マウントを無効にする必要がある 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 2.0.1-preview
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 4.0.0
Kubernetes クラスターで ClusterRole/system:aggregate-edit のエンドポイント編集アクセス許可を許可しない CVE-2021-25740 のため、ClusterRole/system:aggregate-to-edit でエンドポイント編集権限を許可しないでください。Endpoint および EndpointSlice 権限では、名前空間間の転送が許可されます (https://github.com/kubernetes/kubernetes/issues/103675)。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 Audit、Disabled 1.0.0
[プレビュー]: Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.1-preview
[プレビュー]: Kubernetes クラスターでは特定のセキュリティ機能を使用しない Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 3.0.1-preview
[プレビュー]: Kubernetes クラスターでは既定の名前空間を使用しない ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 2.1.1-preview
Kubernetes クラスターでは内部ロード バランサーを使用する必要がある 内部ロード バランサーを使用することで、Kubernetes サービスを Kubernetes クラスターと同じ仮想ネットワークで実行されているアプリケーションからのみアクセス可能にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、deny、disabled 6.0.0
Azure Kubernetes Service でリソース ログを有効にする必要がある Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします AuditIfNotExists、Disabled 1.0.0
Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.0

Lighthouse

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Lighthouse を使用してオンボードするテナント ID の管理を許可する Azure Lighthouse の委任を特定の管理テナントに制限すると、Azure リソースを管理できるユーザーが制限されることにより、セキュリティが向上します。 deny 1.0.1
管理テナントへのスコープの委任を監査する Azure Lighthouse を介した管理テナントへのスコープの委任を監査します。 Audit、Disabled 1.0.0

Logic Apps

名前
(Azure portal)
説明 効果 Version
(GitHub)
Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある 統合サービス環境にデプロイし、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 Audit、Deny、Disabled 1.0.0
統合サービス環境に Logic Apps をデプロイする必要がある 仮想ネットワーク内の統合サービス環境に Logic Apps をデプロイすると、Logic Apps のネットワークとセキュリティの高度な機能が利用できるようになり、ネットワーク構成の制御を強化できます。 詳細については、https://aka.ms/integration-service-environment を参照してください。 また、統合サービス環境にデプロイすることで、カスタマー マネージド キーを使用した暗号化も可能になります。これにより、暗号化キーを自分で管理できるようにすることで、データ保護が強化されます。 その目的は、多くの場合、コンプライアンス要件を満たすことです。 Audit、Deny、Disabled 1.0.0
Logic Apps のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Machine Learning

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 Audit、Deny、Disabled 1.0.3
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 Audit、Deny、Disabled 1.1.0
Azure Machine Learning ワークスペースではユーザー割り当てマネージド ID を使用する必要がある ユーザー割り当てマネージド ID を使用して、Azure ML ワークスペースと関連付けられているリソース、Azure Container Registry、KeyVault、Storage、および App Insights へのアクセスを管理します。 既定では、関連付けられているリソースにアクセスするために、システムによって割り当てられたマネージド ID が Azure ML ワークスペースで使用されます。 ユーザー割り当てのマネージド ID を使用すると、Azure リソースとして ID を作成し、その ID のライフサイクルを保守することができます。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python をご覧ください。 Audit、Deny、Disabled 1.0.0
[プレビュー]: 指定された Azure Machine Learning コンピューティングで許可されるモジュール作成者を構成する 指定された Azure Machine Learning コンピューティングで許可されるモジュール作成者を指定します。ワークスペースで割り当てることができます。 詳細については、https://aka.ms/amlpolicydoc を参照してください。 enforceSetting、無効 3.0.0-preview
[プレビュー]: 指定された Azure Machine Learning コンピューティングで許可される Python パッケージを構成する 指定された Azure Machine Learning コンピューティングで許可される Python パッケージを指定します。ワークスペースで割り当てることができます。 詳細については、https://aka.ms/amlpolicydoc を参照してください。 enforceSetting、無効 3.0.0-preview
[プレビュー]: 指定された Azure Machine Learning コンピューティングで許可されるレジストリを構成する 指定された Azure Machine Learning コンピューティングで許可されるレジストリを指定します。ワークスペースで割り当てることができます。 詳細については、https://aka.ms/amlpolicydoc を参照してください。 enforceSetting、無効 3.0.0-preview
[プレビュー]: 指定された Azure Machine Learning コンピューティングで実行されるジョブの前に呼び出される承認のエンドポイントを構成する 指定された Azure Machine Learning コンピューティングで実行されるジョブの前に呼び出される承認のエンドポイントを構成します。ワークスペースで割り当てることができます。 詳しくは、 詳細については、https://aka.ms/amlpolicydoc を参照してください。 enforceSetting、無効 3.0.0-preview
プライベート DNS ゾーンを使用するように Azure Machine Learning ワークスペースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Machine Learning ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Machine Learning ワークスペースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 DeployIfNotExists、Disabled 1.0.0
[プレビュー]: 指定した Azure Machine Learning コンピューティングにトレーニング コード用のコード署名を構成する 指定された Azure Machine Learning コンピューティングにトレーニング コード用のコード署名を提供します。ワークスペースで割り当てることができます。 詳細については、https://aka.ms/amlpolicydoc を参照してください。 enforceSetting、無効 3.1.0-preview
[プレビュー]: 指定の Azure Machine Learning コンピューティングの完全ログに使用されるようにログ フィルターの式とデータストアを構成する 指定の Azure Machine Learning コンピューティングの完全ログに使用されるログ フィルターの式とデータストアを指定します。ワークスペースで割り当てることができます。 詳細については、https://aka.ms/amlpolicydoc を参照してください。 enforceSetting、無効 3.0.0-preview
Machine Learning コンピューティングを構成してローカル認証方法を無効にする ローカル認証方法を無効にして、Machine Learning コンピューティングで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 Modify、Disabled 1.0.0
Machine Learning コンピューティングでローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Machine Learning コンピューティングで Azure Active Directory ID を認証専用で求めることにより、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 Audit、Deny、Disabled 1.0.0

マネージド アプリケーション

名前
(Azure portal)
説明 効果 Version
(GitHub)
マネージド アプリケーションのアプリケーション定義では、ユーザー指定のストレージ アカウントを使用する これが規制またはコンプライアンスの要件である場合、独自のストレージ アカウントを使用してアプリケーション定義データを制御してください。 管理アプリケーション定義は、作成時に指定したストレージ アカウント内に保存することを選択できます。これにより、場所とアクセスを完全に管理し、規制コンプライアンス要件を満たすことができます。 audit、deny、disabled 1.0.0
マネージド アプリケーションの関連付けのデプロイ 選択したリソースの種類を、指定したマネージド アプリケーションに関連付ける関連付けリソースをデプロイします。 このポリシーのデプロイでは、入れ子になったリソースの種類はサポートされていません。 deployIfNotExists 1.0.0

Media Services

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Media Services アカウントで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに Media Services リソースが露出されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Media Services リソースの露出を制限できます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Media Services アカウントでは、Private Link をサポートする API を使用する必要がある Media Services アカウントは、プライベート リンクをサポートする API を使用して作成する必要があります。 Audit、Deny、Disabled 1.0.0
レガシ v2 API へのアクセスを許可する Azure Media Services アカウントをブロックする必要がある Media Services レガシ v2 API は、Azure Policy を使用して管理できない要求を許可します。 2020-05-01 API 以降を使用して作成された Media Services リソースは、レガシ v2 API へのアクセスをブロックします。 Audit、Deny、Disabled 1.0.0
Azure Media Services コンテンツ キー ポリシーではトークン認証を使用する必要がある コンテンツ キー ポリシーは、コンテンツ キーにアクセスするために満たす必要がある条件を定義します。 トークン制限により、認証サービス (Azure Active Directory など) からの有効なトークンを持つユーザーしかコンテンツ キーにアクセスできなくなります。 Audit、Deny、Disabled 1.0.0
HTTPS 入力のある Azure Media Services ジョブでは入力 URI を許可された URI パターンに制限する必要がある Media Services ジョブによって使用される HTTPS 入力を既知のエンドポイントに制限します。 HTTPS エンドポイントからの入力は、許可されるジョブ入力パターンとして空のリストを設定することで完全に無効にすることができます。 ジョブの入力で "baseUri" が指定されている場合、その値とパターンが照合されます。"baseUri" が設定されていない場合、パターンは "files" プロパティと照合されます。 Deny、Disabled 1.0.1
Azure Media Services ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Media Services を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Media Services アカウントに解決されます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Media Services を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 DeployIfNotExists、Disabled 1.0.0

Migrate

名前
(Azure portal)
説明 効果 Version
(GitHub)
プライベート DNS ゾーンを使用するよう Azure Migrate リソースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure Migrate プロジェクトを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0

監視

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [ASC プライベート プレビュー] システム割り当てマネージド ID を構成して、VM で Azure Monitor 割り当てを有効にする [ASC プライベート プレビュー] Azure でホストされている仮想マシンのうち、Azure Monitor によってサポートされているものの、システム割り当てマネージド ID が与えられていない仮想マシンに、システム割り当てマネージド ID を構成します。 システム割り当てマネージド ID はすべての Azure Monitor 割り当ての前提条件であり、Azure Monitor 拡張機能を使用する前に、マシンに追加する必要があります。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 Modify、Disabled 3.0.0-preview
アクティビティ ログを 1 年以上保持する必要がある このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 AuditIfNotExists、Disabled 1.0.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 AuditIfNotExists、Disabled 3.0.0
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0
Application Insights コンポーネントでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある パブリック ネットワークからのログの取り込みとクエリをブロックすることで、Application Insights のセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このコンポーネントのログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 audit、deny、disabled 1.0.0
Application Insights コンポーネントでは、非 Azure Active Directory ベースの取り込みをブロックする必要がある。 ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 Deny、Audit、Disabled 1.0.0
プライベート リンクを有効にした Application Insights コンポーネントでは、プロファイラーとデバッガー用に Bring Your Own Storage アカウントを使用する必要がある。 プライベート リンクとカスタマー マネージド キーのポリシーをサポートするには、プロファイラーとデバッガー用の独自のストレージ アカウントを作成します。 詳細については、https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage を参照してください Deny、Audit、Disabled 1.0.0
診断設定の監査 選択したリソースの種類の診断設定を監査します AuditIfNotExists 1.0.0
Log Analytics ワークスペースを介した Azure ログ検索アラートでは、カスタマー マネージド キーを使用する必要がある 顧客がクエリ対象の Log Analytics ワークスペースに対して提供したストレージ アカウントを使用してクエリ テキストを保存することで、Azure ログ検索アラートでカスタマー マネージド キーが実装されるようにします。 詳細については、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 Audit, Disabled, Deny 1.0.0
Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします AuditIfNotExists、Disabled 1.0.0
Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 audit、deny、disabled 1.0.0
Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 audit、deny、disabled 1.0.0
Application Insights 用の Azure Monitor ログを Log Analytics ワークスペースにリンクする必要がある Application Insights コンポーネントを Log Analytics ワークスペースにリンクしてログを暗号化します。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor のデータに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用して有効にされた Log Analytics ワークスペースにコンポーネントをリンクすることで、Application Insights のログが確実にこのコンプライアンス要件を満たします。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 audit、deny、disabled 1.0.0
Azure Monitor プライベート リンク スコープではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 AuditIfNotExists、Disabled 1.0.0
Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 AuditIfNotExists、Disabled 2.0.0
Azure Monitor ソリューション "Security and Audit" をデプロイする必要がある このポリシーでは、Security and Audit が確実にデプロイされるようにします。 AuditIfNotExists、Disabled 1.0.0
Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 AuditIfNotExists、Disabled 1.0.0
Linux 仮想マシンをデータ収集ルールにリンクする関連付けを構成する [関連付け] を展開して、Linux 仮想マシンを指定のデータ収集ルールにリンクします。 OS イメージの一覧は、サポートの向上に伴って更新されます。 DeployIfNotExists、Disabled 1.0.0
Windows 仮想マシンをデータ収集ルールにリンクする関連付けを構成する [関連付け] を展開して、Windows 仮想マシンを指定のデータ収集ルールにリンクします。 OS イメージの一覧は、サポートの向上に伴って更新されます。 DeployIfNotExists、Disabled 1.0.0
指定された Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する Azure Activity の診断設定をデプロイして、サブスクリプションの監査ログを Log Analytics ワークスペースにストリーミングし、サブスクリプション レベルのイベントを監視します DeployIfNotExists、Disabled 1.0.0
ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Application Insights コンポーネントを構成する セキュリティを強化するために、公衆ネットワーク アクセスからのコンポーネントのログの取り込みとクエリを無効にします。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-application-insights をご覧ください。 Modify、Disabled 1.1.0
ログの取り込みとクエリのための公衆ネットワーク アクセスを無効にするように Azure Log Analytics ワークスペースを構成する パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 Modify、Disabled 1.1.0
プライベート DNS ゾーンを使用するように Azure Monitor プライベート リンク スコープを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Monitor プライベート リンク スコープに解決されます。 詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Monitor プライベート リンク スコープを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security を参照してください。 DeployIfNotExists、Disabled 1.0.0
Azure Arc が有効な Linux サーバー上で依存関係エージェントを構成する 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 2.0.0
Azure Arc が有効な Windows サーバー上で依存関係エージェントを構成する 依存関係エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、依存関係エージェントを使用して、マシンで実行されているプロセスと外部プロセスの依存関係に関するネットワーク メトリックと検出データを収集します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 2.0.0
Linux 仮想マシンを Azure Monitor エージェントと共に構成する 仮想マシン イメージ (OS) と場所が定義済みの一覧にあり、エージェントがインストールされていない場合は、Linux 仮想マシン用 Azure Monitor エージェントをデプロイします。 OS イメージの一覧は、サポートの向上に伴って更新されます。 DeployIfNotExists、Disabled 1.0.0
Azure Arc が有効な Linux サーバー上で Log Analytics エージェントを構成する Log Analytics エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 2.0.0
Azure Arc が有効な Windows サーバー上で Log Analytics エージェントを構成する Log Analytics エージェントの仮想マシン拡張機能をインストールして、Arc が有効なサーバー経由で Azure に接続されているサーバーとマシン上で VM の分析情報を有効にします。 VM の分析情報では、Log Analytics エージェントを使用して、ゲスト OS のパフォーマンス データを収集し、それらのパフォーマンスに関する分析情報を提供します。 詳細については、https://aka.ms/vminsightsdocs をご覧ください。 DeployIfNotExists、Disabled 2.0.0
ログと監視を集中管理するように Log Analytics ワークスペースとオートメーション アカウントを構成する Log Analytics ワークスペースとリンクされたオートメーション アカウントを含むリソース グループをデプロイして、ログと監視を集中管理します。 オートメーション アカウントは、Updates や Change Tracking のようなソリューションの前提条件です。 DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
Windows 仮想マシンを Azure Monitor エージェントと共に構成する 仮想マシン イメージ (OS) と場所が定義済みの一覧にあり、エージェントがインストールされていない場合は、Windows 仮想マシン用 Azure Monitor エージェントをデプロイします。 OS イメージの一覧は、サポートの向上に伴って更新されます。 DeployIfNotExists、Disabled 2.0.0
一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 AuditIfNotExists、Disabled 2.0.0
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 AuditIfNotExists、Disabled 2.0.0
デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 DeployIfNotExists、Disabled 2.0.0
デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の依存関係エージェントがインストールされていない場合は、そのエージェントをデプロイします。 DeployIfNotExists、Disabled 2.0.0
デプロイ - Azure Key Vault マネージド HSM で有効にする診断設定を Log Analytics ワークスペースに構成する この診断設定がない Azure Key Vault マネージド HSM が作成または更新されたときに地域の Log Analytics ワークスペースにストリーム配信する Azure Key Vault マネージド HSM の診断設定をデプロイします。 DeployIfNotExists、Disabled 1.0.0
デプロイ - Log Analytics エージェントを Windows 仮想マシン スケール セットで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン スケール セット用の Log Analytics エージェントがインストールされていない場合は、そのエージェントをデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 DeployIfNotExists、Disabled 2.0.0
デプロイ - Log Analytics エージェントを Windows 仮想マシンで有効になるように構成する 定義されている一覧に仮想マシン イメージがあり、Windows 仮想マシン用の Log Analytics エージェントがインストールされていない場合は、そのエージェントをデプロイします。 DeployIfNotExists、Disabled 2.0.0
Linux Virtual Machine Scale Sets 用の Dependency Agent のデプロイ 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 deployIfNotExists 1.3.0
Linux 仮想マシン用の Dependency Agent のデプロイ 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux 仮想マシン用にエージェントをデプロイします。 deployIfNotExists 1.3.0
Batch アカウントの診断設定をイベント ハブにデプロイする Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Batch アカウントの診断設定を Log Analytics ワークスペースにデプロイする Batch アカウントの診断設定をデプロイして、この診断設定がない Batch アカウントが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Data Lake Analytics の診断設定をイベント ハブにデプロイする Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Data Lake Analytics の診断設定を Log Analytics ワークスペースにデプロイする Data Lake Analytics の診断設定をデプロイして、この診断設定がない Data Lake Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Data Lake Storage Gen1 の診断設定をイベント ハブにデプロイする Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Data Lake Storage Gen1 の診断設定を Log Analytics ワークスペースにデプロイする Data Lake Storage Gen1 の診断設定をデプロイして、この診断設定がない Data Lake Storage Gen1 が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
イベント ハブの診断設定をイベント ハブにデプロイする イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.1.0
イベント ハブの診断設定を Log Analytics ワークスペースにデプロイする イベント ハブの診断設定をデプロイして、この診断設定がないイベント ハブが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.1.0
Key Vault の診断設定を Log Analytics ワークスペースにデプロイする Key Vault の診断設定をデプロイして、この診断設定がない Key Vault が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Logic Apps の診断設定をイベント ハブにデプロイする Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Logic Apps の診断設定を Log Analytics ワークスペースにデプロイする Logic Apps の診断設定をデプロイして、この診断設定がない Logic Apps が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
ネットワーク セキュリティ グループの診断設定のデプロイ このポリシーは、ネットワーク セキュリティ グループに対して診断設定を自動的にデプロイします。 '{storagePrefixParameter}{NSGLocation}' という名前のストレージ アカウントが自動的に作成されます。 deployIfNotExists 1.0.0
Search サービスの診断設定をイベント ハブにデプロイする Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Search サービスの診断設定を Log Analytics ワークスペースにデプロイする Search サービスの診断設定をデプロイして、この診断設定がない Search サービスが作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Service Bus の診断設定をイベント ハブにデプロイする Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Service Bus の診断設定を Log Analytics ワークスペースにデプロイする Service Bus の診断設定をデプロイして、この診断設定がない Service Bus が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Stream Analytics の診断設定をイベント ハブにデプロイする Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンのイベント ハブにストリーミングします。 DeployIfNotExists、Disabled 2.0.0
Stream Analytics の診断設定を Log Analytics ワークスペースにデプロイする Stream Analytics の診断設定をデプロイして、この診断設定がない Stream Analytics が作成または更新されたときにリージョンの Log Analytics ワークスペースにストリーミングします。 DeployIfNotExists、Disabled 1.0.0
Linux Virtual Machine Scale Sets 用の Log Analytics エージェントのデプロイ 定義された一覧に VM イメージ (OS) があり、Log Analytics エージェントがインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての VM でアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 deployIfNotExists 2.0.0
Linux VM 用の Log Analytics エージェントのデプロイ 定義された一覧に VM イメージ (OS) があり、エージェントがインストールされていない場合は、Linux VM に Log Analytics エージェントをデプロイします。 deployIfNotExists 2.0.0
[プレビュー]: 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要がある 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 AuditIfNotExists、Disabled 2.0.0-preview
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要がある 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 AuditIfNotExists、Disabled 2.0.0
[プレビュー]: Log Analytics エージェントは Linux Azure Arc マシンにインストールする必要がある このポリシーでは、Log Analytics エージェントがインストールされていない場合に、Linux Azure Arc マシンを監査します。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Log Analytics エージェントは Windows Azure Arc マシンにインストールする必要がある このポリシーでは、Log Analytics エージェントがインストールされていない場合に、Windows Azure Arc マシンを監査します。 AuditIfNotExists、Disabled 1.0.0-preview
Log Analytics ワークスペースでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、https://aka.ms/AzMonPrivateLink#configure-log-analytics をご覧ください。 audit、deny、disabled 1.0.0
Log Analytics ワークスペースでは、Azure Active Directory ベースではない取り込みをブロックする必要がある。 ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 Deny、Audit、Disabled 1.0.0
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 AuditIfNotExists、Disabled 1.0.1-preview
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 AuditIfNotExists、Disabled 1.0.1-preview
パブリック IP アドレスでは Azure DDoS Protection Standard のリソース ログが有効になっている必要がある Log Analytics ワークスペースにストリーム配信するために、診断設定でパブリック IP アドレスのリソース ログを有効にします。 通知、レポート、フロー ログを使用して、攻撃のトラフィックと DDoS 攻撃を軽減するために取られた処置に関する詳細を表示します。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0
Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の点について詳しくは、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal を参照してください。 audit、deny、disabled 1.0.0
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、こちら (https://aka.ms/azurestoragebyok) をご覧ください。 AuditIfNotExists、Disabled 1.0.0
仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある このポリシーは、Log Analytics エージェントがインストールされていない場合に、Windows または Linux の仮想マシン スケール セットを監査します。 AuditIfNotExists、Disabled 1.0.0
仮想マシンに Log Analytics エージェントをインストールする必要がある このポリシーは、Log Analytics エージェントがインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 AuditIfNotExists、Disabled 1.0.0
仮想マシンは、指定されたワークスペースに接続する必要がある ポリシーまたはイニシアティブ割り当てで指定されている Log Analytics ワークスペースに仮想マシンがログを記録していない場合、それらを非準拠として報告します。 AuditIfNotExists、Disabled 1.1.0
ブックはユーザーが制御するストレージ アカウントに保存する必要がある 独自のストレージ (BYOS) を使用すると、ブックはユーザーが制御するストレージ アカウントにアップロードされます。 つまり、保存時の暗号化ポリシー、有効期間の管理ポリシー、ネットワーク アクセスをユーザーが制御することになります。 ただし、そのストレージ アカウントに関連するコストについては、お客様が責任を負うものとします。 詳細については、https://aka.ms/workbooksByos を参照してください。 deny、audit、disabled 1.0.0

ネットワーク

名前
(Azure portal)
説明 効果 Version
(GitHub)
カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要があります このポリシーでは、すべての Azure 仮想ネットワーク ゲートウェイ接続がカスタム インターネット プロトコル セキュリティ (Ipsec) またはインターネット キー交換 (IKE) ポリシーを使用することを確認します。 サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください。 Audit、Disabled 1.0.0
[プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください AuditIfNotExists、Disabled 3.0.0-preview
App Service は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての App Service を監査します。 AuditIfNotExists、Disabled 1.0.0
Azure VPN ゲートウェイで 'Basic' SKU を使用しないでください このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。 Audit、Disabled 1.0.0
トラフィック分析を有効にするためにネットワーク セキュリティ グループを構成する トラフィック分析は、ポリシーの作成時に指定された設定を使用して、特定のリージョンでホストされているすべてのネットワーク セキュリティ グループに対して有効にできます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 それを持たないネットワーク セキュリティ グループでは、フロー ログも有効化されます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 DeployIfNotExists、Disabled 1.0.0
トラフィック分析に特定のワークスペースを使用するようにネットワーク セキュリティ グループを構成する トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 DeployIfNotExists、Disabled 1.0.0
[プレビュー]: Container Registry は仮想ネットワーク サービス エンドポイントを使用する必要がある このポリシーでは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのコンテナー レジストリを監査します。 Audit、Disabled 1.0.0-preview
Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。 Audit、Disabled 1.0.0
ターゲット ネットワーク セキュリティ グループを使用してフロー ログ リソースをデプロイする 特定のネットワーク セキュリティ グループのフロー ログを構成します。 ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 deployIfNotExists 1.0.0
仮想ネットワーク作成時の Network Watcher のデプロイ このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。 Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。 DeployIfNotExists 1.0.0
イベント ハブは仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのイベント ハブを監査します。 AuditIfNotExists、Disabled 1.0.0
すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 Audit、Disabled 1.1.0
すべてのネットワーク セキュリティ グループに対してフロー ログを有効にする必要がある フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 Audit、Disabled 1.0.0
ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。 ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。 deny 1.0.0
Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 Audit、Disabled 1.0.0
ネットワーク インターフェイスで IP 転送を無効にする このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。 IP 転送の設定により、Azure によるネットワーク インターフェイスの送信元と送信先のチェックが無効になります。 これは、ネットワーク セキュリティ チームが確認する必要があります。 deny 1.0.0
ネットワーク インターフェイスにはパブリック IP を設定できない このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。 これは、ネットワーク セキュリティ チームが確認する必要があります。 deny 1.0.0
Network Watcher のフロー ログではトラフィック分析を有効にする必要がある トラフィック分析では、Network Watcher のネットワーク セキュリティ グループ フロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの誤った構成などを特定することができます。 Audit、Disabled 1.0.0
Network Watcher を有効にする必要がある Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 AuditIfNotExists、Disabled 3.0.0
インターネットからの RDP アクセスをブロックする必要があります このポリシーは、インターネットからの RDP アクセスを許可するすべてのネットワーク セキュリティ規則を監査します Audit、Disabled 2.0.0
SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。 AuditIfNotExists、Disabled 1.0.0
インターネットからの SSH アクセスをブロックする必要があります このポリシーは、インターネットからの SSH アクセスを許可するすべてのネットワーク セキュリティ規則を監査します Audit、Disabled 2.0.0
ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 Audit、Disabled 1.0.0
仮想マシンは、承認された仮想ネットワークに接続する必要があります このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。 Audit、Deny、Disabled 1.0.0
仮想ネットワークを Azure DDoS Protection Standard によって保護する必要がある Azure DDoS Protection Standard を使用して、仮想ネットワークを帯域幅消費およびプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 Modify、Audit、Disabled 1.0.0
仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。 AuditIfNotExists、Disabled 1.0.0
VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細は https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant で確認してください Audit、Deny、Disabled 1.0.0
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 Audit、Deny、Disabled 1.0.1
Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 Audit、Deny、Disabled 1.0.1
Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。 Audit、Deny、Disabled 1.0.0
Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。 Audit、Deny、Disabled 1.0.0

ポータル

名前
(Azure portal)
説明 効果 Version
(GitHub)
インライン コンテンツを含むマークダウン タイルを共有ダッシュボードに含めることはできない インライン コンテンツを含む共有ダッシュボードを Markdown タイルで作成することを禁止し、オンラインでホストされている Markdown ファイルとしてコンテンツを保存するようにします。 Markdown タイルでインライン コンテンツを使用した場合は、コンテンツの暗号化を管理できません。 独自のストレージを構成することによって、暗号化や二重暗号化を行うだけでなく、独自のキーを使用することもできます。 このポリシーを有効にすると、ユーザーは、2020-09-01-preview 以降のバージョンの共有ダッシュボード REST API を使用するよう制限されます。 Audit、Deny、Disabled 1.0.0
名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスではカスタマー マネージド キーを使用して保存データを暗号化する必要がある Azure Cognitive Search サービスでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存データの暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、キー コンテナーを使用してデータ暗号化キーを管理するための特別なコンプライアンス要件を持つ顧客に適用できます。 Audit、Deny、Disabled 1.0.0
Azure Cognitive Search サービスはプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Audit、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするよう Azure Cognitive Search サービスを構成する Azure Cognitive Search サービスのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するよう Azure Cognitive Search サービスを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、Azure Cognitive Search Service サービスを解決します。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Cognitive Search サービスを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Cognitive Search サービスにマッピングすると、データ漏えいのリスクを軽減できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0
Search サービスのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Security Center

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプションには最大 3 人の所有者を指定する必要がある セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 AuditIfNotExists、Disabled 3.0.0
脆弱性評価ソリューションを仮想マシンで有効にする必要がある 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 AuditIfNotExists、Disabled 3.0.0
安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 AuditIfNotExists、Disabled 3.0.0
アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します AuditIfNotExists、Disabled 3.0.0
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 AuditIfNotExists、Disabled 3.0.0
適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 AuditIfNotExists、Disabled 3.0.0
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 Audit、Disabled 2.0.1
サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 AuditIfNotExists、Disabled 1.0.1
Azure DDoS Protection Standard を有効にする必要がある パブリック IP を持つアプリケーション ゲートウェイに属するサブネットがあるすべての仮想ネットワークで、DDoS Protection Standard が有効でなければなりません。 AuditIfNotExists、Disabled 3.0.0
Azure Defender for App Service を有効にする必要がある Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
コンテナー レジストリ用 Azure Defender を有効にする必要がある コンテナー レジストリ用の Azure Defender では、過去 30 日間にプルされたイメージ、レジストリにプッシュされたイメージ、またはインポートされたイメージの脆弱性をスキャンする機能が提供され、イメージごとの詳細な結果が公開されます。 AuditIfNotExists、Disabled 1.0.3
[プレビュー]: Azure Defender for DNS を有効にする必要がある Azure Defender for DNS では、Azure リソースからすべての DNS クエリを継続的に監視することにより、クラウド リソースに対して追加の保護層を提供します。 Azure Defender では、DNS 層での不審なアクティビティについて警告します。 Azure Defender for DNS の機能に関する詳細については、https://aka.ms/defender-for-dns を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0-preview
Azure Defender for Key Vault を有効にする必要がある Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for Kubernetes を有効にする必要がある Azure Defender for Kubernetes では、コンテナー化された環境に対するリアルタイムの脅威の防止が提供され、不審なアクティビティに対してはアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
Azure Defender for Resource Manager を有効にする必要がある Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for SQL servers on machines を有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Storage を有効にする必要がある Azure Defender for Storage により、ストレージ アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性がある試行を検出できます。 AuditIfNotExists、Disabled 1.0.3
[プレビュー]: Azure Security エージェントをお使いの Linux Arc マシンにインストールする必要がある Linux Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシン スケール セットにインストールする必要がある Linux 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントをお使いの Linux 仮想マシンにインストールする必要がある Linux 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントをお使いの Windows Arc マシンにインストールする必要がある Windows Arc マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシン スケール セットにインストールする必要がある Windows 仮想マシン スケール セットに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントをお使いの Windows 仮想マシンにインストールする必要がある Windows 仮想マシンに Azure Security エージェントをインストールすることで、マシンのセキュリティ構成と脆弱性を監視できます。 評価の結果は、Azure Security Center で確認および管理できます。 AuditIfNotExists、Disabled 1.0.0-preview
Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 AuditIfNotExists、Disabled 1.0.0
Cloud Services (延長サポート) ロール インスタンスでは Endpoint Protection ソリューションがインストールされている必要がある Endpoint Protection ソリューションがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスを脅威と脆弱性から保護します。 AuditIfNotExists、Disabled 1.0.0
Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 AuditIfNotExists、Disabled 1.0.0
Azure Defender for App Service を構成して有効にする Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for Azure SQL Database を構成して有効にする Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 DeployIfNotExists、Disabled 1.0.0
コンテナー レジストリ用の Azure Defender を構成して有効にする コンテナー レジストリ用の Azure Defender では、過去 30 日間にプルされたイメージ、レジストリにプッシュされたイメージ、またはインポートされたイメージの脆弱性をスキャンする機能が提供され、イメージごとの詳細な結果が公開されます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for DNS を構成して有効にする Azure Defender for DNS では、Azure リソースからすべての DNS クエリを継続的に監視することにより、クラウド リソースに対して追加の保護層を提供します。 Azure Defender では、DNS 層での不審なアクティビティについて警告します。 Azure Defender for DNS の機能に関する詳細については、https://aka.ms/defender-for-dns を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.0
Azure Defender for Key Vault を構成して有効にする Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for Kubernetes を構成して有効にする Azure Defender for Kubernetes では、コンテナー化された環境に対するリアルタイムの脅威の防止が提供され、不審なアクティビティに対してはアラートが生成されます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for Resource Manager を構成して有効にする Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center DeployIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を構成して有効にする サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 DeployIfNotExists、Disabled 1.0.0
[プレビュー]: 仮想マシン上の Azure Defender for SQL エージェントを構成する Azure Monitor エージェントがインストールされる場所に Azure Defender for SQL エージェントが自動的にインストールされるよう Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
Azure Defender for SQL servers on machines を構成して有効にする Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 DeployIfNotExists、Disabled 1.0.0
Azure Defender for Storage を構成して有効にする Azure Defender for Storage により、ストレージ アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性がある試行を検出できます。 DeployIfNotExists、Disabled 1.0.0
[プレビュー]: Azure Monitor エージェントの Azure Security Center パイプラインを自動的に作成するようにマシンを構成する Azure Monitor エージェントの Azure Security Center パイプラインを自動的に作成するようにマシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 監査レコードを保存するマシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.1.0-preview
[プレビュー]: 脆弱性評価プロバイダーを受け取るようにマシンを構成する Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender によって、Qualys 脆弱性評価プロバイダーがまだインストールされていないサポート対象のすべてのマシンに自動的にデプロイされます。 DeployIfNotExists、Disabled 2.2.0-preview
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Linux Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Linux Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する サポートされている Linux 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Linux 仮想マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 5.0.0 - プレビュー
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する サポートされている Linux 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 2.0.0-preview
[プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Windows Arc マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Windows Arc マシンが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Windows マシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 DeployIfNotExists、Disabled 4.0.0-preview
[プレビュー]: Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する Azure Security エージェントを自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 サポートされている場所にターゲット Windows 仮想マシン スケール セットが存在する必要があります。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシン スケール セットを構成する サポートされている Windows 仮想マシン スケール セットがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Windows 仮想マシンを構成する ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Windows 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Windows 仮想マシンを構成する サポートされている Windows 仮想マシンがゲスト構成証明の拡張機能を自動的にインストールするように構成し、Azure Security Center で積極的にブートの整合性を証明し、監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 DeployIfNotExists、Disabled 1.0.0-preview
デプロイ - Azure Security Center アラートの抑制ルールを構成する 管理グループまたはサブスクリプションに対して抑制ルールをデプロイして Azure Security Center アラートを抑制し、アラート疲れを軽減します。 deployIfNotExists 1.0.0
Azure Security Center データのイベント ハブへのエクスポートをデプロイする Azure Security Center データのイベント ハブへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット イベント ハブを使用して、イベント ハブ構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.0.0
Azure Security Center データの Log Analytics ワークスペースへのエクスポートをデプロイする Azure Security Center データの Log Analytics ワークスペースへのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット ワークスペースを使用して、Log Analytics ワークスペース構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.0.0
Azure Security Center アラートに対してワークフローの自動化をデプロイする Azure Security Center アラートの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.0.0
Azure Security Center 推奨事項に対してワークフローの自動化をデプロイする Azure Security Center 推奨事項の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.0.0
Azure Security Center の法令遵守のためにワークフローの自動化をデプロイする Azure Security Center の法令遵守の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 deployIfNotExists 4.0.0
非推奨のアカウントをサブスクリプションから削除する必要がある 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 3.0.0
所有者としてのアクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 3.0.0
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.0.1
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 AuditIfNotExists、Disabled 2.0.0
サブスクリプションで Azure Security Center を有効にする Azure Security Center (ASC) によって監視されていない既存のサブスクリプションを識別します。 ASC によって監視されていないサブスクリプションは、Free 価格レベルに登録されます。 ASC によって既に監視されているサブスクリプション (Free または Standard) は、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[対応] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 Security Center で監視する新しいサブスクリプションが 1 つ以上ある場合は、この手順を繰り返します。 deployIfNotExists 1.0.0
カスタム ワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 カスタム ワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 DeployIfNotExists、Disabled 1.0.0
既定のワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする。 ASC の既定のワークスペースを使用してセキュリティ データを監視および収集するために、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにします。 DeployIfNotExists、Disabled 1.0.0
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 AuditIfNotExists、Disabled 1.0.0
エンドポイント保護をマシンにインストールする必要がある 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 AuditIfNotExists、Disabled 1.0.0
エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 AuditIfNotExists、Disabled 3.0.0
所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
読み取りアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
書き込みアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な Linux 仮想マシンのみです。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な Linux 仮想マシン スケール セットのみです。 AuditIfNotExists、Disabled 2.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な仮想マシン スケール セットのみです。 AuditIfNotExists、Disabled 1.0.0-preview
ゲスト構成拡張機能をマシンにインストールする必要がある マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 AuditIfNotExists、Disabled 1.0.1
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
仮想マシン上の IP 転送を無効にする必要がある 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 AuditIfNotExists、Disabled 3.0.0
Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています Audit、Disabled 1.0.2
[プレビュー]: Linux 仮想マシンではセキュア ブートを使用する必要がある マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 AuditIfNotExists、Disabled 1.0.0-preview
お使いのマシンで Log Analytics エージェントの正常性の問題を解決する必要がある Security Center は、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントを使用します。 仮想マシンが正常に監視されるようにするには、エージェントが仮想マシンにインストールされていること、および構成されているワークスペースにセキュリティ イベントがエージェントによって正しく収集されていることを確認する必要があります。 AuditIfNotExists、Disabled 1.0.0
Log Analytics エージェントを Cloud Services (拡張サポート) ロール インスタンスにインストールする必要がある Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 AuditIfNotExists、Disabled 2.0.0
Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します AuditIfNotExists、Disabled 1.0.0
Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 AuditIfNotExists、Disabled 1.0.0
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシンの管理ポートを閉じておく必要がある リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0
Endpoint Protection の不足を Azure Security Center で監視する Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.2
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価が適用されるのは、トラステッド起動が有効な Windows 仮想マシンのみです。 Audit、Disabled 1.0.0-preview
Security Center の Standard 価格レベルを選択する必要がある Standard 価格レベルでは、ネットワークと仮想マシンの脅威検出が可能になり、Azure Security Center で脅威インテリジェンス、異常検出、動作分析が提供されます Audit、Disabled 1.0.0
[プレビュー]: SQL データベースの機密データを分類する必要がある Azure Security Center は、SQL データベースのデータ検出と分類スキャンの結果を監視し、監視とセキュリティの向上のためにデータベース内の機密データを分類するように推奨します AuditIfNotExists、Disabled 3.0.0-preview
サブスクリプションを保護するために、管理証明書ではなくサービス プリンシパルを使用する必要がある 管理証明書を使用すると、それを使用して認証するすべてのユーザーが、証明書に関連付けられているサブスクリプションを管理できます。 サブスクリプションをより安全に管理するには、証明書の侵害の影響を限定するため、Resource Manager でサービス プリンシパルを使用することをお勧めします。 AuditIfNotExists、Disabled 1.0.0
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.0.0
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 AuditIfNotExists、Disabled 1.0.0
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1
仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある お使いの Windows と Linux の仮想マシン スケール セットが確実にセキュリティで保護されるようにするため、インストールする必要のあるシステムのセキュリティ更新プログラムおよび重要な更新プログラムが不足していないかどうかを監査します。 AuditIfNotExists、Disabled 3.0.0
システム更新プログラムをマシンにインストールする必要がある 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 4.0.0
複数の所有者がサブスクリプションに割り当てられている必要がある 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 AuditIfNotExists、Disabled 3.0.0
[プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 AuditIfNotExists、Disabled 1.0.0-preview
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れるデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化機能を使用している場合、または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 詳細については、「Azure Disk Storage のサーバー側暗号化」を参照してください。 また、さまざまなディスク暗号化オファリングに関するページも参照してください。 AuditIfNotExists、Disabled 2.0.2
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください。 AuditIfNotExists、Disabled 1.0.1
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 Audit、Disabled 1.0.0-preview
Azure Container Registry イメージの脆弱性を修復する必要があります コンテナー イメージの脆弱性評価では、プッシュされた各コンテナー イメージのセキュリティ脆弱性についてご利用のレジストリがスキャンされ、各イメージの詳細な結果が公開されます (Qualys を使用)。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 AuditIfNotExists、Disabled 2.0.0
コンテナーのセキュリティ構成の脆弱性を修復する必要があります Docker がインストールされているマシンのセキュリティ構成の脆弱性を監査し、Azure Security Center で推奨事項として表示します。 AuditIfNotExists、Disabled 3.0.0
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある 攻撃から保護するため、お使いの仮想マシン スケール セットの OS 脆弱性を監査します。 AuditIfNotExists、Disabled 3.0.0

Service Bus

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Bus の名前空間から RootManageSharedAccessKey 以外のすべての承認規則を削除する必要がある Service Bus クライアントでは、名前空間内のすべてのキューおよびトピックへのアクセスを提供する名前空間レベルのアクセス ポリシーを使用してはいけません。 最小限の特権セキュリティ モデルに合わせるために、キューとトピックについてはエンティティ レベルでアクセス ポリシーを作成し、特定のエンティティのみへのアクセスを提供する必要があります Audit、Deny、Disabled 1.0.1
Azure Service Bus 名前空間でプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Service Bus 名前空間を構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Service Bus 名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Service Bus 名前空間を構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 DeployIfNotExists、Disabled 1.0.0
Service Bus のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Microsoft Azure Service Bus の名前空間では二重暗号化を有効にする必要があります 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Audit、Deny、Disabled 1.0.0
Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 Audit、Disabled 1.0.0

Service Fabric

名前
(Azure portal)
説明 効果 Version
(GitHub)
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します Audit、Deny、Disabled 1.1.0
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します Audit、Deny、Disabled 1.1.0

SignalR

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure SignalR Service では公衆ネットワーク アクセスを無効にする必要がある Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 Audit、Deny、Disabled 1.0.0
Azure SignalR Service では、ローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Azure SignalR Service の認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 Audit、Deny、Disabled 1.0.0
Azure SignalR Service では Private Link 対応の SKU を使用する必要がある Azure Private Link を使用すると、ソースやターゲットでパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。これにより、データがパブリックに漏洩するリスクからリソースを保護できます。 このポリシーにより、Azure SignalR Service の利用が Private Link 対応の SKU に限定されます。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SignalR Service ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 Audit、Deny、Disabled 1.0.1
ローカル認証を無効にするように Azure SignalR Service を構成する ローカル認証方法を無効にして、Azure SignalR Service の認証で Azure Active Directory の ID のみを要求するようにします。 Modify、Disabled 1.0.0
Azure SignalR Service に対してプライベート エンドポイントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Azure SignalR Service リソースにプライベート エンドポイントをマッピングすると、データ漏洩のリスクを軽減できます。 詳細については、https://aka.ms/asrs/privatelink をご覧ください。 DeployIfNotExists、Disabled 1.0.0
デプロイ - Azure SignalR Service に接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Azure SignalR Service リソースを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/asrs/privatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Azure SignalR Service リソースを変更する Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 Modify、Disabled 1.0.0

Site Recovery

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: プライベート DNS ゾーンを使用するよう Azure Recovery Services コンテナーを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー ]: プライベート エンドポイントを Azure Recovery Services コンテナーに構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 Recovery Services コンテナーのサイトの回復リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクを使用するには、マネージド サービス ID を Recovery Services コンテナーに割り当てる必要があります。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints を参照してください。 DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー ]: Recovery Services コンテナーではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 Azure Site Recovery のプライベート リンクの詳細については、https://aka.ms/HybridScenarios-PrivateLink および https://aka.ms/AzureToAzure-PrivateLink を参照してください。 Audit、Disabled 1.0.0-preview

SQL

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Azure SQL Database で、Azure Active Directory 専用認証が有効になっている必要があります ローカル認証方法を無効にし、Azure Active Directory 認証のみを許可すると、Azure SQL データベースに Azure Active Directory ID で排他的にアクセスできるようになるため、セキュリティが強化されます。 詳細は、aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SQL Database にはバージョン 1.2 以降の TLS が必要 バージョン 1.2 以降の TLS を設定すると、TLS 1.2 を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 Audit、Disabled 1.0.1
Azure SQL Managed Instance で Azure Active Directory 専用認証を有効にする必要がある ローカル認証方法を無効にし、Azure Active Directory 認証のみを許可すると、Azure SQL Managed Instances に Azure Active Directory ID で排他的にアクセスできるようになるため、セキュリティが強化されます。 詳細は、aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Database for MariaDB サーバーで Advanced Threat Protection が有効になるように構成する Basic サービス レベル以外の Azure Database for MariaDB サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 DeployIfNotExists、Disabled 1.0.0
Azure Database for MySQL サーバーで Advanced Threat Protection が有効になるように構成する Basic サービス レベル以外の Azure Database for MySQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 DeployIfNotExists、Disabled 1.0.0
Azure Database for PostgreSQL サーバーで Advanced Threat Protection が有効になるように構成する Basic サービス レベル以外の Azure Database for PostgreSQL サーバーで Advanced Threat Protection を有効にして、データベースへの通常と異なる潜在的に有害なアクセスまたは悪用の試みを示す異常なアクティビティを検出するようにします。 DeployIfNotExists、Disabled 1.0.0
SQL Server を実行中の Arc 対応マシンを、SQL Server 拡張機能がインストールされるように構成する。 Azure Arc 対応 Windows サーバーで SQL Server インスタンスが見つかったときに、SQL Server - Azure Arc リソースが既定で作成されるようにするには、Azure Arc 対応 Windows サーバーで SQL Server 拡張機能がインストールされるようにし、サーバーのマネージド ID を Azure Connected SQL Server Onboarding ロールで構成する必要があります。 DeployIfNotExists、Disabled 1.0.1
SQL マネージド インスタンスで Azure Defender を有効にするように構成する Azure SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 DeployIfNotExists、Disabled 2.0.0
Azure Defender を SQL サーバーで有効になるように構成する Azure SQL Server で Azure Defender を有効にして、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 DeployIfNotExists 2.1.0
Azure SQL データベース サーバーの診断設定を Log Analytics ワークスペースに構成する Azure SQL Database サーバーの監査ログを有効にして、この監査を持たない SQL Server が作成または更新されたときに、Log Analytics ワークスペースにログをストリーミングします DeployIfNotExists、Disabled 1.0.2
公衆ネットワーク アクセスを無効にするように Azure SQL サーバーを構成する 公衆ネットワーク アクセス プロパティを無効にすると、パブリック接続がシャットダウンされ、Azure SQL Server にプライベート エンドポイントからのみアクセスできるようになります。 この構成により、Azure SQL Server のすべてのデータベースへの公衆ネットワーク アクセスが無効になります。 Modify、Disabled 1.0.0
プライベート エンドポイント接続が有効になるように Azure SQL サーバーを構成する プライベート エンドポイント接続を使用すると、仮想ネットワーク内のプライベート IP アドレスを介した Azure SQL Database へのプライベート接続が可能になります。 この構成により、セキュリティ体制が向上し、Azure のネットワークツールとシナリオがサポートされます。 DeployIfNotExists、Disabled 1.0.0
監査を有効にするように SQL Server を構成する SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、SQL サーバーで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 DeployIfNotExists、Disabled 3.0.0
PostgreSQL データベース サーバーでは接続の調整が有効でなければならない このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 AuditIfNotExists、Disabled 1.0.0
デプロイ - Log Analytics ワークスペースにストリーム配信されるように SQL Database の診断設定を構成する SQL Database の診断設定をデプロイして、この診断設定がない SQL Database が作成または更新されたときに、リソース ログが Log Analytics ワークスペースにストリーム配信されるようにします。 DeployIfNotExists、Disabled 1.0.1
SQL サーバーで Advanced Data Security をデプロイする このポリシーを使用して、SQL サーバーでの Advanced Data Security を有効にすることができます。 これには、脅威の検出と脆弱性評価の有効化が含まれます。 SQL サーバーと同じリージョンとリソース グループにストレージ アカウントが自動的に作成され、スキャン結果が "sqlva" プレフィックスを付けて保存されます。 DeployIfNotExists 1.2.0
Azure SQL Database の診断設定をイベント ハブにデプロイする Azure SQL Database の診断設定をデプロイして、この診断設定がない Azure SQL Database が作成または更新されたときにリージョンのイベント ハブにストリーム配信します。 DeployIfNotExists 1.2.0
SQL DB Transparent Data Encryption のデプロイ SQL データベースで Transparent Data Encryption を有効にします DeployIfNotExists 2.0.0
PostgreSQL データベース サーバーの切断はログに記録する必要がある。 このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for MySQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある Azure Database for MySQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます。 Audit、Deny、Disabled 1.0.0
Azure Database for PostgreSQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある Azure Database for PostgreSQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます Audit、Deny、Disabled 1.0.0
PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
PostgreSQL データベース サーバーではログ接続が有効でなければならない このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
PostgreSQL データベース サーバーではログ期間が有効でなければならない このポリシーは、log_duration 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 AuditIfNotExists、Disabled 2.0.0
MariaDB サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MariaDB へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MariaDB にあるかどうかを監査する方法が提供されます。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MySQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MySQL にあるかどうかを監査する方法が提供されます。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 AuditIfNotExists、Disabled 1.0.4
PostgreSQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for PostgreSQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for PostgreSQL にあるかどうかを監査する方法が提供されます。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 AuditIfNotExists、Disabled 1.0.4
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 Audit、Disabled 1.1.0
MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Deny、Disabled 1.1.0
MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Disabled 1.0.2
MySQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for MySQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Deny、Disabled 1.0.0
MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Disabled 1.0.2
PostgreSQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for PostgreSQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 Audit、Deny、Disabled 1.0.0
PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Disabled 1.0.2
重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならない 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要があります AuditIfNotExists、Disabled 1.0.0
SQL データベースでは GRS バックアップ冗長の使用を避ける データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 Deny、Disabled 2.0.0
SQL Managed Instance にはバージョン 1.2 以上の TLS が必要 バージョン 1.2 以降の TLS を設定すると、TLS 1.2 を使用するクライアントのみが SQL Managed Instance にアクセスできるため、セキュリティが強化されます。 1.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 Audit、Disabled 1.0.1
SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避ける データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 Deny、Disabled 1.0.1
[プレビュー]: SQL マネージド インスタンスで保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある SQL マネージド インスタンスは、Transparent Data Encryption のカスタマー マネージド キーを使用して作成します。 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 Audit、Deny、Disabled 1.0.0-preview
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 AuditIfNotExists、Disabled 1.0.2
[プレビュー]: SQL サーバーで保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある AZURE SQL Server は、Transparent Data Encryption のカスタマー マネージド キーを使用して作成します。 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 Audit、Deny、Disabled 1.0.0-preview
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 AuditIfNotExists、Disabled 2.0.1
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 3.0.0
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0
指定されたサブネットからのトラフィックを許可するには、Azure SQL Database の仮想ネットワーク ファイアウォール規則を有効にする必要がある 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure SQL Database へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 AuditIfNotExists 1.0.0
SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある 脆弱性評価の設定の [スキャン レポートの送信先] フィールドにメール アドレスが指定されていることを確認します。 このメール アドレスを使用して、SQL サーバーで定期的なスキャンが実行された後、スキャン結果の概要を受け取ります。 AuditIfNotExists、Disabled 2.0.0
SQL Managed Instance で脆弱性評価を有効にする必要がある 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 1.0.1
脆弱性評価を SQL サーバー上で有効にする必要がある 定期的な脆弱性評価スキャンが有効になっていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 2.0.0

ストレージ

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure File Sync ではプライベート リンクを使用する必要がある 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 AuditIfNotExists、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure File Sync を構成する 登録済みサーバーからストレージ同期サービスのリソース インターフェイスのプライベート エンドポイントにアクセスするには、プライベート エンドポイントのプライベート IP アドレスに対して正しい名前を解決するように DNS を構成する必要があります。 このポリシーを使用すると、必要な Azure プライベート DNS ゾーンと、ストレージ同期サービスのプライベート エンドポイントのインターフェイス用の A レコードが作成されます。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを持つ Azure File Sync を構成する 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントがデプロイされます。 これにより、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 1 つ以上のプライベート エンドポイントが存在するだけでは、パブリック エンドポイントは無効になりません。 DeployIfNotExists、Disabled 1.0.0
ストレージ アカウントの診断設定を Log Analytics ワークスペースに構成する リソース ログをストリーミングするためのストレージ アカウントの診断設定を、この診断設定を持たないストレージ アカウントが作成または更新されたときに、Log Analytics ワークスペースにデプロイします。 DeployIfNotExists、Disabled 1.3.0
プライベート リンク接続を使用するようストレージ アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントをストレージ アカウントにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 DeployIfNotExists、Disabled 1.0.0
ストレージ アカウントで Advanced Threat Protection をデプロイする このポリシーを使用して、ストレージ アカウントで Advanced Threat Protection を有効にすることができます。 DeployIfNotExists、Disabled 1.0.0
ストレージ アカウントの geo 冗長ストレージを有効にする必要があります Geo 冗長を使用して高可用性アプリケーションを作成します Audit、Disabled 1.0.0
HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure HPC Cache の保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 Audit, Disabled, Deny 2.0.0
変更 - 公衆ネットワーク アクセスを無効にするように Azure File Sync を構成する Azure File Sync のインターネット アクセス可能なパブリック エンドポイントが組織のポリシーによって無効にされます。 ストレージ同期サービスには、引き続き、そのプライベート エンドポイントを介してアクセスすることができます。 Modify、Disabled 1.0.0
Azure File Sync の公衆ネットワーク アクセスを無効にする必要がある パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 Audit、Deny、Disabled 1.0.0
ストレージ アカウントへの安全な転送を有効にする必要がある ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します Audit、Deny、Disabled 2.0.0
ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、自分で作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 ストレージ アカウントの暗号化スコープの詳細については、https://aka.ms/encryption-scopes-overview を参照してください。 Audit、Deny、Disabled 1.0.0
ストレージ アカウントの暗号化スコープでは、保存データに対して二重暗号化を使用する必要がある セキュリティを強化するために、ストレージ アカウント暗号化スコープの保存時の暗号化に対して、インフラストラクチャ暗号化を有効にします。 インフラストラクチャ暗号化により、データが 2 回暗号化されます。 Audit、Deny、Disabled 1.0.0
ストレージ アカウント キーが期限切れにならないようにする必要がある アカウント キーのセキュリティを向上させるために、キーの有効期限ポリシーが設定されている場合、ユーザー ストレージ アカウント キーが期限切れになるときにアクションを行うことによって、それらのキーが期限切れにならないようにしてください。 Audit、Deny、Disabled 3.0.0
[プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 audit、deny、disabled 3.0.1-preview
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 Audit、Deny、Disabled 1.0.0
ストレージ アカウントを許可されている SKU で制限する必要がある 組織でデプロイできるストレージ アカウント SKU のセットを制限します。 Audit、Deny、Disabled 1.1.0
ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります Audit、Deny、Disabled 1.0.0
ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 Audit、Deny、Disabled 1.0.0
ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 Audit、Deny、Disabled 1.0.0
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 Audit、Deny、Disabled 1.1.1
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 Audit、Deny、Disabled 1.0.1
ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 Audit、Disabled 1.0.3
ストレージ アカウントではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 AuditIfNotExists、Disabled 2.0.0

Stream Analytics

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Stream Analytics ジョブでは、データの暗号化にカスタマー マネージド キーを使用する必要がある ストレージ アカウントに Stream Analytics ジョブのメタデータとプライベート データ資産を安全に格納したい場合は、カスタマー マネージド キーを使用します。 これで、Stream Analytics データが暗号化される方法を完全に制御できるようになります。 audit、deny、disabled 1.0.0
Azure Stream Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

Synapse

名前
(Azure portal)
説明 効果 Version
(GitHub)
Synapse ワークスペースの監査を有効にする必要がある 専用 SQL プール上のすべてのデータベースについてデータベースのアクティビティを追跡して監査ログに保存するには、Synapse ワークスペースに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure Synapse ワークスペースでは、承認済みのターゲットへの送信データ トラフィックのみを許可する必要がある 承認済みのターゲットへの送信データ トラフィックのみを許可することで、Synapse ワークスペースのセキュリティを強化します。 データを送信する前にターゲットが検証されるので、これはデータ流出の防止に役立ちます。 Audit, Disabled, Deny 1.0.0
Azure Synapse ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、Synapse ワークスペースがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Synapse ワークスペースの公開を制限できます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーは、Azure Synapse ワークスペースに格納されているデータの保存時の暗号化を制御するために使用されます。 カスタマー マネージド キーを使用すると、サービス マネージド キーによる既定の暗号化の上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されます。 Audit、Deny、Disabled 1.0.0
Azure Synapse ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 Audit、Disabled 1.0.1
パブリック ネットワーク アクセスを無効にするように Azure Synapse ワークスペースを構成する Synapse ワークスペースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するよう Azure Synapse ワークスペースを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Synapse ワークスペースを解決するために、プライベート DNS ゾーンが仮想ネットワークにリンクされています。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Synapse ワークスペースを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークが Azure サービスに接続されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 DeployIfNotExists、Disabled 1.0.0
監査を有効にするように Synapse ワークスペースを構成する SQL アセットに対して実行された操作が確実にキャプチャされるようにするには、Synapse ワークスペースで監査が有効になっている必要があります。 これは、規制標準に準拠するために必要になる場合があります。 DeployIfNotExists、Disabled 1.1.0
Azure Synapse ワークスペースの IP ファイアウォール規則を削除する必要がある IP ファイアウォール規則をすべて削除すると、Azure Synapse ワークスペースへのアクセス手段がプライベート エンドポイントに限定され、セキュリティが向上します。 ワークスペースのパブリック ネットワーク アクセスを許可するファイアウォール規則の作成が、この構成によって監査されます。 Audit、Disabled 1.0.0
Azure Synapse ワークスペースのマネージド ワークスペース仮想ネットワークを有効にする必要がある マネージド ワークスペース仮想ネットワークを有効にすると、そのワークスペースが他のワークスペースから分離されたネットワークであることが保証されます。 また、この仮想ネットワークにデプロイされるデータ統合と Spark リソースによって、Spark のアクティビティに関してユーザー レベルの分離性が確保されます。 Audit、Deny、Disabled 1.0.0
Synapse マネージド プライベート エンドポイントは、承認された Azure Active Directory テナント内のリソースにのみ接続する必要がある 承認された Azure Active Directory (Azure AD) テナント内のリソースへの接続のみを許可することによって、Synapse ワークスペースを保護します。 承認された Azure AD テナントは、ポリシーの割り当て中に定義できます。 Audit, Disabled, Deny 1.0.0
Synapse ワークスペースの監査設定では、重要なアクティビティをキャプチャするようにアクション グループを構成する必要がある 監査ログを確実に可能な限り詳細なものにするには、AuditActionsAndGroups プロパティに関連するすべてのグループが含まれている必要があります。 少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、および BATCH_COMPLETED_GROUP を追加することをお勧めします。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 1.0.0
ストレージ アカウント ターゲットに対する Synapse ワークスペースの SQL 監査データの保持期間を 90 日以上でに設定する必要がある インシデント調査を目的として、Synapse ワークスペースの SQL 監査のストレージ アカウント ターゲットのデータ保持期間を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 2.0.0
Synapse ワークスペースで脆弱性評価を有効にする必要がある Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 AuditIfNotExists、Disabled 1.0.0

Tags

名前
(Azure portal)
説明 効果 Version
(GitHub)
リソース グループにタグを追加する このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 変更 1.0.0
リソースにタグを追加する このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 リソース グループのタグは変更されません。 変更 1.0.0
サブスクリプションにタグを追加する 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加します。 タグに異なる値が含まれている場合、タグは変更されません。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 変更 1.0.0
リソース グループのタグを追加または置換する 任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 変更 1.0.0
リソースのタグを追加または置換する 任意のリソースが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 リソース グループのタグは変更されません。 変更 1.0.0
サブスクリプションのタグを追加または置換する 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 変更 1.0.0
タグとその値をリソース グループから追加 このタグがない任意のリソースが作成または更新されたときに、リソース グループの指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 append 1.0.0
タグとその値のリソース グループへの追加 このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソース グループが変更されるまで、このポリシーが適用される前に作成されたリソース グループのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 append 1.0.0
タグとその値をリソースに追加する このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 リソース グループには適用されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 append 1.0.1
リソース グループからタグを継承する 任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 変更 1.0.0
存在しない場合は、リソース グループからタグを継承する このタグがない任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 変更 1.0.0
サブスクリプションからタグを継承する 任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 変更 1.0.0
存在しない場合は、サブスクリプションからタグを継承する このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 変更 1.0.0
リソース グループでタグとその値を必須にする リソース グループで必要なタグとその値を強制します。 deny 1.0.0
タグとその値がリソースに必要 必要なタグとその値を強制的に適用します。 リソース グループには適用されません。 deny 1.0.1
リソース グループでタグを必須にする リソース グループでタグの存在を強制します。 deny 1.0.0
リソースでタグを必須にする タグの存在を強制します。 リソース グループには適用されません。 deny 1.0.1

VM Image Builder

名前
(Azure portal)
説明 効果 Version
(GitHub)
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 Audit, Disabled, Deny 1.1.0

Web PubSub

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Web PubSub サービスではパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセスを無効にすると、Azure Web PubSub サービスがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Azure Web PubSub サービスの公開を制限できます。 詳細については、https://aka.ms/awps/networkacls を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Web PubSub サービスでは、プライベート リンクをサポートする SKU を使用する必要がある サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先でパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Web PubSub サービスではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 Audit、Deny、Disabled 1.0.0
パブリック ネットワーク アクセスを無効にするように Azure Web PubSub サービスを構成する Azure Web PubSub リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/awps/networkacls を参照してください。 Modify、Disabled 1.0.0
プライベート DNS ゾーンを使用するように Azure Web PubSub サービスを構成する プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Web PubSub サービスに解決されます。 詳細については、https://aka.ms/awps/privatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0
プライベート エンドポイントを使用して Azure Web PubSub サービスを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 DeployIfNotExists、Disabled 1.0.0

次のステップ