Wbudowane definicje usługi Azure Policy dla usług sieciowych platformy Azure
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usług sieciowych platformy Azure. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Usługi sieciowe platformy Azure
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Bramy aplikacji powinny być odporne na strefy | Bramy aplikacji można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Application Gatewaysmthat havenexactly jeden wpis w tablicy stref są traktowane jako Wyrównane strefy. Z kolei funkcja Application Gatmways z 3 lub większą większa większa liczba wpisów w tablicy stref jest rozpoznawana jako strefowo nadmiarowa. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Azure Recovery Services do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną, aby rozpoznać magazyny usługi Recovery Services. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie magazynów usługi Recovery Services do używania prywatnych stref DNS do tworzenia kopii zapasowych | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania magazynu usługi Recovery Services. Dowiedz się więcej na stronie: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Zapory powinny być odporne na strefy | Zapory można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Zapory, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Z kolei zapory z co najmniej 3 wpisami w tablicy stref są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Moduły równoważenia obciążenia powinny być odporne na strefy | Moduły równoważenia obciążenia z jednostkę SKU inną niż Podstawowa dziedziczą odporność publicznych adresów IP w frontonie. W połączeniu z zasadami "Publiczne adresy IP powinny być odporne na strefy", takie podejście zapewnia niezbędną nadmiarowość, aby wytrzymać awarię strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Brama translatora adresów sieciowych powinna być wyrównana do strefy | Bramę translatora adresów sieciowych można skonfigurować tak, aby był wyrównany do strefy. Brama translatora adresów sieciowych, która ma dokładnie jeden wpis w tablicy stref, jest uważana za wyrównaną strefę. Te zasady zapewniają skonfigurowanie bramy translatora adresów sieciowych do działania w jednej strefie dostępności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Publiczne adresy IP powinny być odporne na strefy | Publiczne adresy IP można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Publiczne adresy IP, które są regionalne, z dokładnie jednym wpisem w tablicy stref są traktowane jako Wyrównane strefy. Z kolei publiczne adresy IP, które są regionalne, z co najmniej 3 wpisami w tablicy stref są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.1.0-preview |
| [Wersja zapoznawcza]: Prefiksy publicznych adresów IP powinny być odporne na strefy | Prefiksy publicznych adresów IP można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Prefiksy publicznych adresów IP, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Natomiast prefiksy publicznych adresów IP z co najmniej 3 wpisami w tablicy stref są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Bramy sieci wirtualnej powinny być strefowo nadmiarowe | Bramy sieci wirtualnej można skonfigurować jako strefowo nadmiarowe lub nie. Bramy sieci wirtualnej, których nazwa jednostki SKU lub warstwa nie kończą się ciągiem "AZ", nie są strefowo nadmiarowe. Te zasady identyfikują bramy sieci wirtualnej bez nadmiarowości wymaganej do wytrzymania awarii strefy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Niestandardowe zasady protokołu IPsec/IKE muszą być stosowane do wszystkich połączeń bramy sieci wirtualnej platformy Azure | Te zasady zapewniają, że wszystkie połączenia bramy sieci wirtualnej platformy Azure używają niestandardowych zasad zabezpieczeń protokołu internetowego (Ipsec)/Internet Key Exchange(IKE). Obsługiwane algorytmy i mocne strony klucza — https://aka.ms/AA62kb0 | Inspekcja, wyłączone | 1.0.0 |
| Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Inspekcja konfiguracji dzienników przepływu dla każdej sieci wirtualnej | Przeprowadź inspekcję dla sieci wirtualnej, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| aplikacja systemu Azure Gateway należy wdrożyć za pomocą zapory aplikacji internetowej platformy Azure | Wymaga aplikacja systemu Azure zasobów bramy do wdrożenia za pomocą zapory aplikacji internetowej platformy Azure. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| aplikacja systemu Azure Gateway powinna mieć włączone dzienniki zasobów | Włącz dzienniki zasobów dla bramy aplikacja systemu Azure (plus zapory aplikacji internetowej) i przesyłaj strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w przychodzący ruch internetowy i akcje podjęte w celu wyeliminowania ataków. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
| Zasady zapory platformy Azure powinny włączyć inspekcję protokołu TLS w regułach aplikacji | Włączenie inspekcji protokołu TLS jest zalecane dla wszystkich reguł aplikacji w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. Aby dowiedzieć się więcej na temat inspekcji protokołu TLS za pomocą usługi Azure Firewall, odwiedź stronę https://aka.ms/fw-tlsinspect | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Firewall Premium powinna skonfigurować prawidłowy certyfikat pośredni, aby umożliwić inspekcję protokołu TLS | Skonfiguruj prawidłowy certyfikat pośredni i włącz inspekcję protokołu TLS usługi Azure Firewall w warstwie Premium w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. Aby dowiedzieć się więcej na temat inspekcji protokołu TLS za pomocą usługi Azure Firewall, odwiedź stronę https://aka.ms/fw-tlsinspect | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Front Door powinna mieć włączone dzienniki zasobów | Włącz dzienniki zasobów dla usługi Azure Front Door (plus zapory aplikacji internetowej) i przesyłaj strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w przychodzący ruch internetowy i akcje podjęte w celu wyeliminowania ataków. | AuditIfNotExists, Disabled | 1.0.0 |
| Bramy sieci VPN platformy Azure nie powinny używać jednostki SKU "podstawowa" | Te zasady zapewniają, że bramy sieci VPN nie używają jednostki SKU "podstawowa". | Inspekcja, wyłączone | 1.0.0 |
| Zapora aplikacji internetowej platformy Azure w usłudze aplikacja systemu Azure Gateway powinna mieć włączoną inspekcję treści żądania | Upewnij się, że zapory aplikacji internetowej skojarzone z bramami aplikacja systemu Azure mają włączoną inspekcję treści żądania. Dzięki temu zapora aplikacji internetowej może sprawdzać właściwości w treści protokołu HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Web Application Firewall w usłudze Azure Front Door powinna mieć włączoną inspekcję treści żądania | Upewnij się, że zapory aplikacji internetowej skojarzone z usługą Azure Front Door mają włączoną inspekcję treści żądań. Dzięki temu zapora aplikacji internetowej może sprawdzać właściwości w treści protokołu HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Ochrona bota powinna być włączona dla zapory aplikacji internetowej bramy aplikacja systemu Azure | Te zasady zapewniają, że ochrona botów jest włączona we wszystkich zasadach zapory aplikacji internetowej (WAF) usługi aplikacja systemu Azure Gateway | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona bota powinna być włączona dla zapory aplikacji internetowej usługi Azure Front Door | Te zasady zapewniają, że ochrona botów jest włączona we wszystkich zasadach zapory aplikacji internetowej usługi Azure Front Door (WAF) | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Lista pomijania systemu wykrywania i zapobiegania włamaniom (IDPS) powinna być pusta w zasadach zapory Premium | Lista obejść systemu wykrywania i zapobiegania włamaniom (IDPS) pozwala nie filtrować ruchu do żadnego z adresów IP, zakresów i podsieci określonych na liście obejścia. Włączenie dostawcy tożsamości jest jednak ponownie zalecane dla wszystkich przepływów ruchu w celu lepszego identyfikowania znanych zagrożeń. Aby dowiedzieć się więcej na temat sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) za pomocą usługi Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps-signature | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy obiektów blob | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego identyfikatora grupy obiektów blob. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora blob_secondary groupID | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego blob_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy dfs | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy dfs_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego dfs_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy plików | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego groupID pliku. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy kolejki | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego groupID kolejki. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy queue_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego queue_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy tabel | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego groupID tabeli. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy table_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego table_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy sieci Web | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego identyfikatora grupy sieci Web. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnego identyfikatora strefy DNS dla identyfikatora grupy web_secondary | Skonfiguruj prywatną grupę stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego web_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie aplikacji usługi App Service do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy sieć wirtualną z usługą App Service. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie zakresów usługi Azure Arc Private Link do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zakresów usługi Azure Arc Private Link. Dowiedz się więcej na stronie: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie kont usługi Azure Automation z prywatnymi strefami DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Aby nawiązać połączenie z kontem usługi Azure Automation za pośrednictwem usługi Azure Private Link, potrzebna jest prywatna strefa DNS. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Cache for Redis do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS może być połączona z siecią wirtualną, aby rozpoznać usługę Azure Cache for Redis. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Cognitive usługa wyszukiwania do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną, aby rozwiązać problemy z usługą Azure Cognitive usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie obszaru roboczego usługi Azure Databricks do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania obszarów roboczych usługi Azure Databricks. Dowiedz się więcej na stronie: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Device Update dla kont usługi IoT Hub do korzystania z prywatnych stref DNS | Usługa Azure Prywatna strefa DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania nazwami domen i rozpoznawania ich w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS przy użyciu własnych niestandardowych nazw domen dla prywatnego punktu końcowego. Te zasady wdrażają prywatną strefę DNS dla prywatnych punktów końcowych usługi IoT Hub dla aktualizacji urządzeń. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure File Sync do korzystania z prywatnych stref DNS | Aby uzyskać dostęp do prywatnych punktów końcowych dla interfejsów zasobów usługi synchronizacji magazynu z zarejestrowanego serwera, należy skonfigurować usługę DNS w celu rozpoznawania poprawnych nazw prywatnych adresów IP prywatnego punktu końcowego. Te zasady tworzą wymagane rekordy azure Prywatna strefa DNS Zone i A dla interfejsów prywatnych punktów końcowych usługi synchronizacji magazynu. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie klastrów usługi Azure HDInsight do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania klastrów usługi Azure HDInsight. Dowiedz się więcej na stronie: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Key Vault do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania magazynu kluczy. Dowiedz się więcej na stronie: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie obszaru roboczego usługi Azure Machine Edukacja do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania obszarów roboczych usługi Azure Machine Edukacja. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie obszarów roboczych usługi Azure Managed Grafana do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania obszarów roboczych usługi Azure Managed Grafana. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Media Services do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania konta usługi Media Services. Dowiedz się więcej na stronie: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Media Services z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Media Services, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów usługi Azure Migrate do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania projektu usługi Azure Migrate. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zakresu usługi Azure Monitor Private Link do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zakresu łącza prywatnego usługi Azure Monitor. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie obszarów roboczych usługi Azure Synapse do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozwiązania problemu z obszarem roboczym usługi Azure Synapse. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie zasobów puli hostów usługi Azure Virtual Desktop do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobów usługi Azure Virtual Desktop. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów obszaru roboczego usługi Azure Virtual Desktop do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobów usługi Azure Virtual Desktop. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Web PubSub do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania usługi Azure Web PubSub. Dowiedz się więcej na stronie: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów usługi BotService do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobów powiązanych z usługą BotService. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie kont usług Cognitive Services do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania kont usług Cognitive Services. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie rejestrów kontenerów do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania rejestru kontenerów. Dowiedz się więcej na stronie: https://aka.ms/privatednszone i https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie kont usługi CosmosDB do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania konta usługi CosmosDB. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie ustawień diagnostycznych dla sieciowych grup zabezpieczeń platformy Azure w obszarze roboczym usługi Log Analytics | Wdróż ustawienia diagnostyczne w sieciowych grupach zabezpieczeń platformy Azure, aby przesyłać strumieniowo dzienniki zasobów do obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie zasobów dostępu do dysku w celu korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania dysku zarządzanego. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw centrum zdarzeń do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznawania przestrzeni nazw centrum zdarzeń. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie wystąpień aprowizacji urządzeń usługi IoT Hub do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania wystąpienia usługi aprowizacji urządzeń usługi IoT Hub. Dowiedz się więcej na stronie: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie sieciowych grup zabezpieczeń w celu włączenia analizy ruchu | Analizę ruchu można włączyć dla wszystkich sieciowych grup zabezpieczeń hostowanych w określonym regionie z ustawieniami podanymi podczas tworzenia zasad. Jeśli ma już włączoną analizę ruchu, zasady nie zastępują ustawień. Dzienniki przepływu są również włączone dla sieciowych grup zabezpieczeń, które ich nie mają. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie sieciowych grup zabezpieczeń do korzystania z określonego obszaru roboczego, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu | Jeśli analiza ruchu jest już włączona, zasady zastąpią istniejące ustawienia ustawieniami podanymi podczas tworzenia zasad. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.2.0 |
| Konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych połączonych z usługą App Configuration | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS może być połączona z siecią wirtualną w celu rozpoznawania wystąpień konfiguracji aplikacji. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych łączących się z usługą Azure Data Factory | Prywatna strefa DNS rekordy zezwalają na połączenia prywatne z prywatnymi punktami końcowymi. Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z usługą Azure Data Factory bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i stref DNS w usłudze Azure Data Factory, zobacz https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Private Link dla usługi Azure AD do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną, aby rozwiązać problem z usługą Azure AD. Dowiedz się więcej na stronie: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie przestrzeni nazw usługi Service Bus do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania przestrzeni nazw usługi Service Bus. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie sieci wirtualnej w celu włączenia usługi Flow Log and Traffic Analytics | Analizy ruchu i dzienniki usługi Flow można włączyć dla wszystkich sieci wirtualnych hostowanych w określonym regionie z ustawieniami podanymi podczas tworzenia zasad. Te zasady nie zastępują bieżącego ustawienia dla sieci wirtualnych, które mają już włączoną tę funkcję. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.1.1 |
| Konfigurowanie sieci wirtualnych w celu wymuszania obszaru roboczego, konta magazynu i interwału przechowywania dzienników usługi Flow i analizy ruchu | Jeśli sieć wirtualna ma już włączoną analizę ruchu, te zasady zastąpią istniejące ustawienia ustawieniami podanymi podczas tworzenia zasad. Analiza ruchu to oparte na chmurze rozwiązanie, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. | DeployIfNotExists, Disabled | 1.1.2 |
| Wdrażanie — konfigurowanie domen usługi Azure Event Grid do używania prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Wdrażanie — konfigurowanie tematów usługi Azure Event Grid w celu korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Dowiedz się więcej na stronie: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Wdrażanie — konfigurowanie usługi Azure IoT Hubs do korzystania z prywatnych stref DNS | Usługa Azure Prywatna strefa DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania nazwami domen i rozpoznawania ich w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS przy użyciu własnych niestandardowych nazw domen dla prywatnego punktu końcowego. Te zasady wdrażają prywatną strefę DNS dla prywatnych punktów końcowych usługi IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Wdrażanie — konfigurowanie usługi IoT Central do korzystania z prywatnych stref DNS | Usługa Azure Prywatna strefa DNS zapewnia niezawodną, bezpieczną usługę DNS do zarządzania nazwami domen i rozpoznawania ich w sieci wirtualnej bez konieczności dodawania niestandardowego rozwiązania DNS. Za pomocą prywatnych stref DNS można zastąpić rozpoznawanie nazw DNS przy użyciu własnych niestandardowych nazw domen dla prywatnego punktu końcowego. Te zasady wdrażają prywatną strefę DNS dla prywatnych punktów końcowych usługi IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych na potrzeby nawiązywania połączenia z usługą Azure SignalR Service | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania zasobu usługi Azure SignalR Service. Dowiedz się więcej na stronie: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie prywatnych stref DNS dla prywatnych punktów końcowych łączących się z kontami usługi Batch | Prywatna strefa DNS rekordy zezwalają na połączenia prywatne z prywatnymi punktami końcowymi. Połączenia prywatnych punktów końcowych umożliwiają bezpieczną komunikację, umożliwiając prywatną łączność z kontami usługi Batch bez konieczności używania publicznych adresów IP w źródle lub miejscu docelowym. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i stref DNS w usłudze Batch, zobacz https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie zasobu dziennika przepływu z docelową sieciową grupą zabezpieczeń | Konfiguruje dziennik przepływu dla określonej sieciowej grupy zabezpieczeń. Umożliwi to rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Dziennik przepływu pomaga zidentyfikować nieznany lub niepożądany ruch, zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa, analizować przepływy sieciowe z naruszonych adresów IP i interfejsów sieciowych. | deployIfNotExists | 1.1.0 |
| Wdrażanie zasobu dziennika przepływu z docelową siecią wirtualną | Konfiguruje dziennik przepływu dla określonej sieci wirtualnej. Umożliwi to rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Dziennik przepływu pomaga zidentyfikować nieznany lub niepożądany ruch, zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa, analizować przepływy sieciowe z naruszonych adresów IP i interfejsów sieciowych. | DeployIfNotExists, Disabled | 1.1.1 |
| Wdrażanie Ustawienia diagnostycznych dla sieciowych grup zabezpieczeń | Te zasady automatycznie wdrażają ustawienia diagnostyczne w sieciowych grupach zabezpieczeń. Zostanie automatycznie utworzone konto magazynu o nazwie {storagePrefixParameter}{NSGLocation}. | deployIfNotExists | 2.0.1 |
| Wdrażanie usługi Network Watcher podczas tworzenia sieci wirtualnych | Te zasady tworzą zasób usługi Network Watcher w regionach z sieciami wirtualnymi. Należy upewnić się, że istnieje grupa zasobów o nazwie networkWatcherRG, która będzie używana do wdrażania wystąpień usługi Network Watcher. | DeployIfNotExists | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Bastions (microsoft.network/bastionhosts) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Bastions (microsoft.network/bastionhosts) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi Bastions (microsoft.network/bastionhosts) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla zapory (microsoft.network/azurefirewalls) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zapory (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.network/frontdoors) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla profilów usługi Front Door i cdN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.network/frontdoors) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla profilów usługi Front Door i CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla profilów usługi Front Door i CDN (microsoft.network/frontdoors) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla profilów usługi Front Door i CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/p2svpngateways do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla biblioteki microsoft.network/p2svpngateways w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla bram microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla microsoft.network/p2svpngateways do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla publicznych adresów IP (microsoft.network/publicipaddresses) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla publicznych adresów IP (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Włączanie rejestrowania według grupy kategorii dla publicznych adresów IP (microsoft.network/publicipaddresses) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla publicznych adresów IP (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla publicznych adresów IP (microsoft.network/publicipaddresses) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla publicznych adresów IP (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Włączanie rejestrowania według grupy kategorii dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways) do usługi Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla bram sieci wirtualnej (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie reguły limitu szybkości w celu ochrony przed atakami DDoS w zaporze aplikacji internetowej usługi Azure Front Door | Reguła limitu szybkości usługi Azure Web Application Firewall (WAF) dla usługi Azure Front Door kontroluje liczbę żądań dozwolonych z określonego adresu IP klienta do aplikacji w czasie trwania limitu szybkości. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasady zapory — wersja Premium powinna włączyć wszystkie reguły sygnatur IDPS w celu monitorowania wszystkich przepływów ruchu przychodzącego i wychodzącego | Włączenie wszystkich reguł sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) jest ponownie zalecane, aby lepiej zidentyfikować znane zagrożenia w przepływach ruchu. Aby dowiedzieć się więcej na temat sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) za pomocą usługi Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps-signature | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zasady zapory Premium powinny włączyć system wykrywania i zapobiegania włamaniom (IDPS) | Włączenie systemu wykrywania i zapobiegania włamaniom (IDPS) umożliwia monitorowanie sieci pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania. Aby dowiedzieć się więcej na temat systemu wykrywania i zapobiegania włamaniom (IDPS) przy użyciu usługi Azure Firewall — wersja Premium, odwiedź stronę https://aka.ms/fw-idps | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.1.0 |
| Podsieci bramy nie powinny być skonfigurowane z sieciową grupą zabezpieczeń | Te zasady nie zezwalają na skonfigurowanie podsieci bramy z sieciową grupą zabezpieczeń. Przypisanie sieciowej grupy zabezpieczeń do podsieci bramy spowoduje, że brama przestanie działać. | odmowa | 1.0.0 |
| Migrowanie zapory aplikacji internetowej z konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej w usłudze Application Gateway | Jeśli masz konfigurację zapory aplikacji internetowej zamiast zasad zapory aplikacji internetowej, możesz przejść do nowych zasad zapory aplikacji internetowej. W przyszłości zasady zapory będą obsługiwać ustawienia zasad zapory aplikacji internetowej, zarządzane zestawy reguł, wykluczenia i wyłączone grupy reguł. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Interfejsy sieciowe powinny być połączone z zatwierdzoną podsiecią zatwierdzonej sieci wirtualnej | Te zasady blokują nawiązywanie połączenia z siecią wirtualną lub podsiecią, która nie jest zatwierdzona. https://aka.ms/VirtualEnclaves | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Interfejsy sieciowe powinny wyłączyć przekazywanie adresów IP | Te zasady odrzucają interfejsy sieciowe, które włączyły przekazywanie adresów IP. Ustawienie przekazywania adresów IP wyłącza sprawdzanie źródła i miejsca docelowego dla interfejsu sieciowego platformy Azure. Powinno to zostać przejrzyone przez zespół ds. zabezpieczeń sieci. | odmowa | 1.0.0 |
| Interfejsy sieciowe nie powinny mieć publicznych adresów IP | Te zasady odrzucają interfejsy sieciowe skonfigurowane przy użyciu dowolnego publicznego adresu IP. Publiczne adresy IP umożliwiają zasobom internetowym komunikowanie się w ramach ruchu przychodzącego z zasobami platformy Azure, a zasobom platformy Azure komunikowanie się w ramach ruchu wychodzącego z Internetem. Powinno to zostać przejrzyone przez zespół ds. zabezpieczeń sieci. | odmowa | 1.0.0 |
| Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu | Analiza ruchu analizuje dzienniki przepływów, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Może służyć do wizualizowania aktywności sieci w ramach subskrypcji platformy Azure i identyfikowania punktów aktywnych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu, wskazywania błędów konfiguracji sieci i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Publiczne adresy IP powinny mieć włączone dzienniki zasobów dla usługi Azure DDoS Protection | Włącz dzienniki zasobów dla publicznych adresów IP w ustawieniach diagnostycznych, aby przesyłać strumieniowo do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w ruch ataków i akcje podejmowane w celu wyeliminowania ataków DDoS za pośrednictwem powiadomień, raportów i dzienników przepływu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Subskrypcja powinna skonfigurować usługę Azure Firewall Premium w celu zapewnienia dodatkowej warstwy ochrony | Usługa Azure Firewall Premium zapewnia zaawansowaną ochronę przed zagrożeniami, która spełnia potrzeby wysoce wrażliwych i regulowanych środowisk. Wdróż usługę Azure Firewall Premium w ramach subskrypcji i upewnij się, że cały ruch usługi jest chroniony przez usługę Azure Firewall Premium. Aby dowiedzieć się więcej o usłudze Azure Firewall — wersja Premium, odwiedź stronę https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | Te zasady przeprowadzają inspekcję każdej maszyny wirtualnej połączonej z siecią wirtualną, która nie jest zatwierdzona. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Sieci wirtualne powinny być chronione przez usługę Azure DDoS Protection | Ochrona sieci wirtualnych przed atakami woluminowymi i protokołami za pomocą usługi Azure DDoS Protection. Aby uzyskać więcej informacji, zobacz https://aka.ms/ddosprotectiondocs. | Modyfikowanie, inspekcja, wyłączone | 1.0.1 |
| Sieci wirtualne powinny używać określonej bramy sieci wirtualnej | Te zasady przeprowadzają inspekcję dowolnej sieci wirtualnej, jeśli trasa domyślna nie wskazuje określonej bramy sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Bramy sieci VPN powinny używać tylko uwierzytelniania usługi Azure Active Directory (Azure AD) dla użytkowników punkt-lokacja | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że bramy sieci VPN używają tylko tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej o uwierzytelnianiu w usłudze Azure AD pod adresem https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Zapora aplikacji internetowej powinna włączyć wszystkie reguły zapory dla usługi Application Gateway | Włączenie wszystkich reguł zapory aplikacji internetowej zwiększa bezpieczeństwo aplikacji i chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach. Aby dowiedzieć się więcej o zaporze aplikacji internetowej w usłudze Application Gateway, odwiedź stronę https://aka.ms/waf-ag | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | Nakazuje używanie trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Application Gateway. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | Nakazuje korzystanie z trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Azure Front Door Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.