Definições internas do Azure Policy para a Rede Virtual do Microsoft Azure
Esta página é um índice de definições de políticas internas do Azure Policy para a Rede Virtual do Microsoft Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Rede Virtual do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
| [Versão prévia]: o Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita os Registros de Contêiner que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 – versão prévia |
| Uma política de IPsec ou IKE personalizada precisa ser aplicada a todas as conexões do gateway de rede virtual do Azure | Essa política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada do protocolo Ipsec ou IKE. Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 | Audit, desabilitado | 1.0.0 |
| Todos os recursos de log de fluxo devem estar no estado habilitado | Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desabilitado | 2.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Uma auditoria de rede virtual para verificar se os logs de fluxo foram configurados. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio da rede virtual. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| O Gateway de Aplicativo do Azure deve ser implantado com o WAF do Azure | Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o WAF do Azure. | Audit, Deny, desabilitado | 1.0.0 |
| A política de firewall do Azure deve habilitar a inspeção de TLS dentro das regras do aplicativo | A habilitação da inspeção do TLS é recomendada para que todas as regras de aplicativo detectem, alertem e mitiguem atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Audit, Deny, desabilitado | 1.0.0 |
| O Firewall do Azure Premium deve configurar um certificado intermediário válido para habilitar a inspeção TLS | Configure um certificado intermediário válido e habilite a inspeção do TLS Premium do Firewall do Azure para detectar, alertar e mitigar as atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Audit, Deny, desabilitado | 1.0.0 |
| Os gateways de VPN do Azure não devem usar o SKU 'básico' | Essa política garante que os gateways de VPN não usem o SKU "básico". | Audit, desabilitado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure em Gateway de Aplicativo do Azure deve ter a inspeção do corpo da solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados a Gateways de Aplicativo do Azure têm a Inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. | Audit, Deny, desabilitado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure no Azure Front Door deve ter a inspeção do corpo da solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados ao Azure Front Doors têm a inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. | Audit, Deny, desabilitado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| A Proteção contra Bots deve ser habilitada para o WAF do Gateway de Aplicativo do Azure | Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Gateway de Aplicativo do Azure | Audit, Deny, desabilitado | 1.0.0 |
| A Proteção contra Bots deve ser habilitada para o WAF do Azure Front Door | Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Azure Front Door | Audit, Deny, desabilitado | 1.0.0 |
| A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) deve estar vazia na política de firewall Premium | A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. No entanto, a habilitação do IDPS é recomendado para todos os fluxos de tráfego a fim de identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps-signature | Audit, Deny, desabilitado | 1.0.0 |
| Defina as configurações de diagnóstico para Grupos de Segurança de Rede do Azure para o workspace do Log Analytics | Implante configurações de diagnóstico para Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um workspace do Log Analytics. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se a política já tiver a análise de tráfego habilitada, ela não substituirá as configurações da análise. Os logs de fluxo também são habilitados para os grupos de segurança de rede que ainda não os têm. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar grupos de segurança de rede para usar o workspace específico, a conta de armazenamento e a política de retenção do log de fluxo para a análise de tráfego | Se a política já tiver a análise de tráfego habilitada, a ela substituirá as configurações existentes da análise por aquelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A Análise de Tráfego e os Logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Essa política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.1.1 |
| Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.1.2 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual Microsoft Azure Cosmos DB | Essa política audita os Cosmos DB que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com as redes virtuais de destino | Configura o log de fluxo para uma rede virtual específica. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de uma rede virtual. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. | DeployIfNotExists, desabilitado | 1.1.1 |
| Implantar o observador de rede quando redes virtuais são criadas | Essa política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do observador de rede. | DeployIfNotExists | 1.0.0 |
| Habilite a regra limite de taxa para proteger contra ataques de DDoS no WAF do Azure Front Door | A regra de limite de taxa do WAF (Firewall de Aplicativo Web do Azure) para o Azure Front Door controla o número de solicitações permitidas de um endereço IP de cliente específico para o aplicativo durante um limite de taxa. | Audit, Deny, desabilitado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os Hubs de Eventos que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desabilitado | 1.0.0 |
| A política de firewall Premium deve permitir que todas as regras de assinatura do IDPS monitorem todos os fluxos de tráfego de entrada e de saída | A habilitação de todas as regras de assinatura do IDPS (Sistema de Detecção e Prevenção contra Intrusões) é recomendada para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps-signature | Audit, Deny, desabilitado | 1.0.0 |
| A política de firewall Premium deve habilitar o IDPS (Sistema de Detecção e Prevenção contra Intrusões) | A habilitação do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você monitore a rede em busca de atividades mal-intencionadas, registre informações sobre elas, relate-as e, opcionalmente, tente bloqueá-las. Para saber mais sobre o IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps | Audit, Deny, desabilitado | 1.0.0 |
| Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede | Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um grupo de segurança de rede | Essa política negará se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. Atribuir um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | deny | 1.0.0 |
| O Key Vault deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| Migrar o WAF da Configuração do WAF para a Política do WAF no Gateway de Aplicativo | Se você tem uma Configuração WAF, em vez de uma Política do WAF, convém mover para a nova política do WAF. No futuro, a política de firewall dará suporte a configurações de política do WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Audit, Deny, desabilitado | 1.0.0 |
| Os adaptadores de rede devem desabilitar o encaminhamento IP | Essa política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento de IP desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Essa política nega as interfaces de rede que são configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem internamente com os recursos do Azure e que os recursos do Azure se comuniquem externamente com a Internet. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| Os logs de fluxo do Observador de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Ela pode ser usada para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender os padrões de fluxo de tráfego, identificar configurações de rede incorretas e muito mais. | Audit, desabilitado | 1.0.1 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os SQL Servers que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desabilitado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| A assinatura deve configurar o Firewall do Azure Premium para fornecer uma camada adicional de proteção | O Firewall do Azure Premium fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados. Implante o Firewall do Azure Premium na sua assinatura e garanta que todo o tráfego de serviço fique protegido pelo Firewall do Azure Premium. Para saber mais sobre o Firewall do Azure Premium, acesse https://aka.ms/fw-premium | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais devem estar conectadas a uma rede virtual aprovada | Essa política audita as máquinas virtuais que estão conectadas a uma rede virtual que não foi aprovada. | Audit, Deny, desabilitado | 1.0.0 |
| As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure | Proteja suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para obter mais informações, visite https://aka.ms/ddosprotectiondocs. | Modify, Audit, desabilitado | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Essa política audita as redes virtuais em que a rota padrão não aponta para o gateway de rede virtual especificado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os gateways de VPN devem usar somente a autenticação do Azure AD (Active Directory) para usuários de ponto a site | Desabilitar os métodos de autenticação local melhora a segurança, garantindo que os gateways de VPN usem apenas identidades do Azure Active Directory para a autenticação. Para saber mais sobre a autenticação do Azure AD, confira https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, desabilitado | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
| O WAF (Firewall de Aplicativo Web) deve habilitar todas as regras de firewall para o Gateway de Aplicativo | Habilitar todas as regras do WAF (Firewall de Aplicativo Web) fortalece a segurança do aplicativo e protege seus aplicativos Web contra vulnerabilidades comuns. Para saber mais sobre o WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo, acesse https://aka.ms/waf-ag | Audit, Deny, desabilitado | 1.0.1 |
| O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para Gateway de Aplicativo | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para Gateway de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para o Azure Front Door Service | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para o Azure Front Door Service. | Audit, Deny, desabilitado | 1.0.0 |
Marcas
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar uma marca aos grupos de recursos | Adiciona a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Adicionar uma marca aos recursos | Adiciona a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Não modifica tags em grupos de recursos. | modify | 1.0.0 |
| Adicionar uma marca às assinaturas | Adiciona a marca e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. | modify | 1.0.0 |
| Adicionar ou substituir uma marca nos grupos de recursos | Adiciona ou substitui a marca e o valor especificados quando qualquer grupo de recursos é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Adicionar ou substituir uma marca nos recursos | Adiciona ou substitui a marca e o valor especificados quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Não modifica tags em grupos de recursos. | modify | 1.0.0 |
| Adicionar ou substituir uma marca em assinaturas | Adiciona ou substitui a marca e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. | modify | 1.0.0 |
| Acrescentar uma marca e seu valor do grupo de recursos | Acrescenta a marca especificada com seu valor do grupo de recursos quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Acrescentar uma marca e seu valor a grupos de recursos | Acrescenta a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos grupos de recursos criados antes da aplicação dessa política até que esses grupos de recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Acrescentar uma marca e seu valor a recursos | Acrescenta a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Não se aplica a grupos de recursos. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.1 |
| Herdar uma marca do grupo de recursos | Adiciona ou substitui a marca e o valor especificados do grupo de recursos pai quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Herdar uma marca do grupo de recursos, se ela estiver ausente | Adiciona a marca especificada com seu valor do grupo de recursos pai quando qualquer recurso que falta nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Herdar uma marca da assinatura | Adiciona ou substitui a marca e o valor especificados da assinatura que os contém quando algum recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Herdar uma marca da assinatura, se ela estiver ausente | Adiciona a marca especificada com o respectivo valor da assinatura que a contém quando algum recurso que não tem essa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Exigir uma marca e seu valor em grupos de recursos | Impõe uma marca necessária e seu valor em grupos de recursos. | deny | 1.0.0 |
| Exigir uma marca e seu valor em recursos | Impõe uma marca necessária e seu valor. Não se aplica a grupos de recursos. | deny | 1.0.1 |
| Exigir uma marca em grupos de recursos | Aplica a existência de uma marca em grupos de recursos. | deny | 1.0.0 |
| Exigir uma marca em recursos | Aplica a existência de uma marca. Não se aplica a grupos de recursos. | deny | 1.0.1 |
| Exige que os recursos não tenham uma marca específica. | Nega a criação de um recurso que contenha a marca fornecida. Não se aplica a grupos de recursos. | Audit, Deny, desabilitado | 2.0.0 |
Geral
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Locais permitidos | Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos. Use para impor seus requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região "global". | deny | 1.0.0 |
| Localizações permitidas para grupos de recursos | Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica. | deny | 1.0.0 |
| Tipos de recursos permitidos | Essa política permite especificar os tipos de recursos que sua organização pode implantar. Somente os tipos de recursos que dão suporte a "marcas" e "local" serão afetados por essa política. Para restringir todos os recursos, duplique essa política e altere o "modo" para "Todos". | deny | 1.0.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do seu grupo de recursos | auditoria | 2.0.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Configurar assinaturas para configurar a versão prévia dos recursos | Essa política avalia a versão prévia dos recursos da assinatura existente. As assinaturas podem ser corrigidas para se registrarem em uma versão prévia de um novo recurso. As novas assinaturas não serão registradas automaticamente. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.1 |
| Não permitir a exclusão de tipos de recursos | Essa política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. | DenyAction, Desabilitado | 1.0.1 |
| Não permitir Recursos do M365 | Bloqueie a criação de recursos do M365. | Audit, Deny, desabilitado | 1.0.0 |
| Não permitir recursos do MCPP | Bloqueie a criação de recursos do MCPP. | Audit, Deny, desabilitado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exclua recursos de custos de uso. Os custos de uso incluem coisas como armazenamento medido e recursos do Azure que são cobrados com base no uso. | Audit, Deny, desabilitado | 1.0.0 |
| Tipos de recursos não permitidos | Restrinja os tipos de recursos que poderão ser implantados em seu ambiente. Limitar os tipos de recursos poderá reduzir a complexidade e a superfície de ataque do ambiente, enquanto também ajuda a gerenciar custos. Os resultados de conformidade serão mostrados somente para recursos não compatíveis. | Audit, Deny, desabilitado | 2.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.