Azure Virtual Network 用の Azure Policy 組み込み定義Azure Policy built-in definitions for Azure Virtual Network

このページは、Azure Virtual Network 用の Azure Policy 組み込みポリシー定義のインデックスです。This page is an index of Azure Policy built-in policy definitions for Azure Virtual Network. 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。For additional Azure Policy built-ins for other services, see Azure Policy built-in definitions.

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。The name of each built-in policy definition links to the policy definition in the Azure portal. [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。Use the link in the Version column to view the source on the Azure Policy GitHub repo.

Azure Virtual NetworkAzure Virtual Network

名前Name
(Azure portal)(Azure portal)
説明Description 効果Effect(s) VersionVersion
(GitHub)(GitHub)
カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要がありますA custom IPsec/IKE policy must be applied to all Azure virtual network gateway connections このポリシーでは、すべての Azure 仮想ネットワーク ゲートウェイ接続がカスタム インターネット プロトコル セキュリティ (Ipsec) またはインターネット キー交換 (IKE) ポリシーを使用することを確認します。This policy ensures that all Azure virtual network gateway connections use a custom Internet Protocol Security(Ipsec)/Internet Key Exchange(IKE) policy. サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください。Supported algorithms and key strengths - https://aka.ms/AA62kb0 Audit、DisabledAudit, Disabled 1.0.01.0.0
すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングするAll Internet traffic should be routed via your deployed Azure Firewall 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してくださいProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists、DisabledAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
App Service は仮想ネットワーク サービス エンドポイントを使用する必要がありますApp Service should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての App Service を監査します。This policy audits any App Service not configured to use a virtual network service endpoint. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Azure VPN ゲートウェイで 'Basic' SKU を使用しないでくださいAzure VPN gateways should not use 'basic' SKU このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。This policy ensures that VPN gateways do not use 'basic' SKU. Audit、DisabledAudit, Disabled 1.0.01.0.0
コンテナー レジストリは仮想ネットワーク サービス エンドポイントを使用する必要があるContainer Registry should use a virtual network service endpoint このポリシーでは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのコンテナー レジストリを監査します。This policy audits any Container Registry not configured to use a virtual network service endpoint. Audit、DisabledAudit, Disabled 1.0.0-preview1.0.0-preview
Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要がありますCosmos DB should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。This policy audits any Cosmos DB not configured to use a virtual network service endpoint. Audit、DisabledAudit, Disabled 1.0.01.0.0
仮想ネットワーク作成時の Network Watcher のデプロイDeploy network watcher when virtual networks are created このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。This policy creates a network watcher resource in regions with virtual networks. Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。You need to ensure existence of a resource group named networkWatcherRG, which will be used to deploy network watcher instances. DeployIfNotExistsDeployIfNotExists 1.0.01.0.0
イベント ハブは仮想ネットワーク サービス エンドポイントを使用する必要がありますEvent Hub should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのイベント ハブを監査します。This policy audits any Event Hub not configured to use a virtual network service endpoint. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならないGateway subnets should not be configured with a network security group このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。This policy denies if a gateway subnet is configured with a network security group. ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。Assigning a network security group to a gateway subnet will cause the gateway to stop functioning. denydeny 1.0.01.0.0
Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要がありますKey Vault should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。This policy audits any Key Vault not configured to use a virtual network service endpoint. Audit、DisabledAudit, Disabled 1.0.01.0.0
ネットワーク インターフェイスで IP 転送を無効にするNetwork interfaces should disable IP forwarding このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。This policy denies the network interfaces which enabled IP forwarding. IP 転送の設定により、Azure によるネットワーク インターフェイスの送信元と送信先のチェックが無効になります。The setting of IP forwarding disables Azure's check of the source and destination for a network interface. これは、ネットワーク セキュリティ チームが確認する必要があります。This should be reviewed by the network security team. denydeny 1.0.01.0.0
ネットワーク インターフェイスにはパブリック IP を設定できないNetwork interfaces should not have public IPs このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。This policy denies the network interfaces which are configured with any public IP. パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。Public IP addresses allow internet resources to communicate inbound to Azure resources, and Azure resources to communicate outbound to the internet. これは、ネットワーク セキュリティ チームが確認する必要があります。This should be reviewed by the network security team. denydeny 1.0.01.0.0
Network Watcher を有効にする必要があるNetwork Watcher should be enabled Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。Scenario level monitoring enables you to diagnose problems at an end to end network level view. Network Watcher に搭載されているネットワークの診断および監視ツールを使用して、Azure 内のネットワークを把握および診断し、洞察を得ることができます。Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. auditIfNotExistsauditIfNotExists 1.0.01.0.0
インターネットからの RDP アクセスをブロックする必要がありますRDP access from the Internet should be blocked このポリシーは、インターネットからの RDP アクセスを許可するすべてのネットワーク セキュリティ規則を監査しますThis policy audits any network security rule that allows RDP access from Internet Audit、DisabledAudit, Disabled 2.0.02.0.0
Service Bus は仮想ネットワーク サービス エンドポイントを使用する必要がありますService Bus should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Service Bus を監査します。This policy audits any Service Bus not configured to use a virtual network service endpoint. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要がありますSQL Server should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての SQL Server を監査します。This policy audits any SQL Server not configured to use a virtual network service endpoint. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
インターネットからの SSH アクセスをブロックする必要がありますSSH access from the Internet should be blocked このポリシーは、インターネットからの SSH アクセスを許可するすべてのネットワーク セキュリティ規則を監査しますThis policy audits any network security rule that allows SSH access from Internet Audit、DisabledAudit, Disabled 2.0.02.0.0
ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要がありますStorage Accounts should use a virtual network service endpoint このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。This policy audits any Storage Account not configured to use a virtual network service endpoint. Audit、DisabledAudit, Disabled 1.0.01.0.0
仮想マシンは、承認された仮想ネットワークに接続する必要がありますVirtual machines should be connected to an approved virtual network このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。This policy audits any virtual machine connected to a virtual network that is not approved. Audit、Deny、DisabledAudit, Deny, Disabled 1.0.01.0.0
仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要がありますVirtual networks should use specified virtual network gateway このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。This policy audits any virtual network if the default route does not point to the specified virtual network gateway. AuditIfNotExists、DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要があるWeb Application Firewall (WAF) should be enabled for Application Gateway すべての Application Gateway に Web アプリケーション ファイアウォール (WAF) が必要です。Requires Web Application Firewall (WAF) on any Application Gateway. Web アプリケーション ファイアウォールにより、その他の Azure リソースのセキュリティが強化されます。A Web Application Firewall provides greater security for your other Azure resources. Audit、Deny、DisabledAudit, Deny, Disabled 1.0.01.0.0
Azure Front Door Service に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要があるWeb Application Firewall (WAF) should be enabled for Azure Front Door Service すべての Azure Front Door Service に Web アプリケーション ファイアウォール (WAF) が必要です。Requires Web Application Firewall (WAF) on any Azure Front Door Service. Web アプリケーション ファイアウォールにより、その他の Azure リソースのセキュリティが強化されます。A Web Application Firewall provides greater security for your other Azure resources. Audit、Deny、DisabledAudit, Deny, Disabled 1.0.01.0.0
Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要があるWeb Application Firewall (WAF) should use the specified mode for Application Gateway Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Application Gateway. Audit、Deny、DisabledAudit, Deny, Disabled 1.0.01.0.0
Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要があるWeb Application Firewall (WAF) should use the specified mode for Azure Front Door Service Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Azure Front Door Service. Audit、Deny、DisabledAudit, Deny, Disabled 1.0.01.0.0

TagsTags

名前Name
(Azure portal)(Azure portal)
説明Description 効果Effect(s) VersionVersion
(GitHub)(GitHub)
リソース グループにタグを追加するAdd a tag to resource groups このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。Adds the specified tag and value when any resource group missing this tag is created or updated. 修復タスクをトリガーすることで、既存のリソース グループを修復できます。Existing resource groups can be remediated by triggering a remediation task. タグに異なる値が含まれている場合、タグは変更されません。If the tag exists with a different value it will not be changed. 変更modify 1.0.01.0.0
リソースにタグを追加するAdd a tag to resources このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。Adds the specified tag and value when any resource missing this tag is created or updated. 修復タスクをトリガーすることで、既存のリソースを修復できます。Existing resources can be remediated by triggering a remediation task. タグに異なる値が含まれている場合、タグは変更されません。If the tag exists with a different value it will not be changed. リソース グループのタグは変更されません。Does not modify tags on resource groups. 変更modify 1.0.01.0.0
リソース グループのタグを追加または置換するAdd or replace a tag on resource groups 任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加または置換します。Adds or replaces the specified tag and value when any resource group is created or updated. 修復タスクをトリガーすることで、既存のリソース グループを修復できます。Existing resource groups can be remediated by triggering a remediation task. 変更modify 1.0.01.0.0
リソースのタグを追加または置換するAdd or replace a tag on resources 任意のリソースが作成または更新されたときに、指定されたタグと値を追加または置換します。Adds or replaces the specified tag and value when any resource is created or updated. 修復タスクをトリガーすることで、既存のリソースを修復できます。Existing resources can be remediated by triggering a remediation task. リソース グループのタグは変更されません。Does not modify tags on resource groups. 変更modify 1.0.01.0.0
タグとその値をリソース グループから追加Append a tag and its value from the resource group このタグがない任意のリソースが作成または更新されたときに、リソース グループの指定されたタグと値を追加します。Appends the specified tag with its value from the resource group when any resource which is missing this tag is created or updated. これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。Does not modify the tags of resources created before this policy was applied until those resources are changed. 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。New 'modify' effect policies are available that support remediation of tags on existing resources (see https://aka.ms/modifydoc). appendappend 1.0.01.0.0
タグとその値のリソース グループへの追加Append a tag and its value to resource groups このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。Appends the specified tag and value when any resource group which is missing this tag is created or updated. これらのリソース グループが変更されるまで、このポリシーが適用される前に作成されたリソース グループのタグは変更されません。Does not modify the tags of resource groups created before this policy was applied until those resource groups are changed. 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。New 'modify' effect policies are available that support remediation of tags on existing resources (see https://aka.ms/modifydoc). appendappend 1.0.01.0.0
タグとその値をリソースに追加するAppend a tag and its value to resources このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。Appends the specified tag and value when any resource which is missing this tag is created or updated. これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。Does not modify the tags of resources created before this policy was applied until those resources are changed. リソース グループには適用されません。Does not apply to resource groups. 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。New 'modify' effect policies are available that support remediation of tags on existing resources (see https://aka.ms/modifydoc). appendappend 1.0.11.0.1
リソース グループからタグを継承するInherit a tag from the resource group 任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加または置換します。Adds or replaces the specified tag and value from the parent resource group when any resource is created or updated. 修復タスクをトリガーすることで、既存のリソースを修復できます。Existing resources can be remediated by triggering a remediation task. 変更modify 1.0.01.0.0
存在しない場合は、リソース グループからタグを継承するInherit a tag from the resource group if missing このタグがない任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加します。Adds the specified tag with its value from the parent resource group when any resource missing this tag is created or updated. 修復タスクをトリガーすることで、既存のリソースを修復できます。Existing resources can be remediated by triggering a remediation task. タグに異なる値が含まれている場合、タグは変更されません。If the tag exists with a different value it will not be changed. 変更modify 1.0.01.0.0
サブスクリプションからタグを継承するInherit a tag from the subscription 任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加または置換します。Adds or replaces the specified tag and value from the containing subscription when any resource is created or updated. 修復タスクをトリガーすることで、既存のリソースを修復できます。Existing resources can be remediated by triggering a remediation task. 変更modify 1.0.01.0.0
存在しない場合は、サブスクリプションからタグを継承するInherit a tag from the subscription if missing このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加します。Adds the specified tag with its value from the containing subscription when any resource missing this tag is created or updated. 修復タスクをトリガーすることで、既存のリソースを修復できます。Existing resources can be remediated by triggering a remediation task. タグに異なる値が含まれている場合、タグは変更されません。If the tag exists with a different value it will not be changed. 変更modify 1.0.01.0.0
リソース グループでタグとその値を必須にするRequire a tag and its value on resource groups リソース グループで必要なタグとその値を強制します。Enforces a required tag and its value on resource groups. denydeny 1.0.01.0.0
タグとその値がリソースに必要Require a tag and its value on resources 必要なタグとその値を強制的に適用します。Enforces a required tag and its value. リソース グループには適用されません。Does not apply to resource groups. denydeny 1.0.11.0.1
リソース グループでタグを必須にするRequire a tag on resource groups リソース グループでタグの存在を強制します。Enforces existence of a tag on resource groups. denydeny 1.0.01.0.0
リソースでタグを必須にするRequire a tag on resources タグの存在を強制します。Enforces existence of a tag. リソース グループには適用されません。Does not apply to resource groups. denydeny 1.0.11.0.1

全般General

名前Name
(Azure portal)(Azure portal)
説明Description 効果Effect(s) VersionVersion
(GitHub)(GitHub)
許可される場所Allowed locations このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。This policy enables you to restrict the locations your organization can specify when deploying resources. geo コンプライアンス要件を強制するために使用されます。Use to enforce your geo-compliance requirements. リソース グループ Microsoft.AzureActiveDirectory/b2cDirectories や、「グローバル」リージョンを使用するリソースを除外します。Excludes resource groups, Microsoft.AzureActiveDirectory/b2cDirectories, and resources that use the 'global' region. denydeny 1.0.01.0.0
リソース グループが許可される場所Allowed locations for resource groups このポリシーでは、組織がリソース グループを作成できる場所を制限できます。This policy enables you to restrict the locations your organization can create resource groups in. geo コンプライアンス要件を強制するために使用されます。Use to enforce your geo-compliance requirements. denydeny 1.0.01.0.0
許可されるリソースの種類Allowed resource types このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。This policy enables you to specify the resource types that your organization can deploy. このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。Only resource types that support 'tags' and 'location' will be affected by this policy. すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。To restrict all resources please duplicate this policy and change the 'mode' to 'All'. denydeny 1.0.01.0.0
リソースの場所がリソース グループの場所と一致することの監査Audit resource location matches resource group location リソースの場所がそのリソース グループの場所と一致することを監査しますAudit that the resource location matches its resource group location 監査audit 2.0.02.0.0
カスタム RBAC 規則の使用監査Audit usage of custom RBAC rules エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。Audit built-in roles such as 'Owner, Contributer, Reader' instead of custom RBAC roles, which are error prone. カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になりますUsing custom roles is treated as an exception and requires a rigorous review and threat modeling Audit、DisabledAudit, Disabled 1.0.01.0.0
カスタム サブスクリプションの所有者ロールが作成されていないことCustom subscription owner roles should not exist このポリシーでは、カスタム サブスクリプションの所有者ロールが存在しないことを確認します。This policy ensures that no custom subscription owner roles exist. Audit、DisabledAudit, Disabled 2.0.02.0.0
許可されないリソースの種類Not allowed resource types このポリシーでは、組織でデプロイできないリソースの種類を指定できるようになります。This policy enables you to specify the resource types that your organization cannot deploy. 拒否Deny 1.0.01.0.0

次のステップNext steps