Inbyggda Azure Policy-definitioner för Azure Virtual Network
Den här sidan är ett index över inbyggda principdefinitioner för Azure Policy för Azure Virtual Network. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Virtual Network
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Container Registry bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla containerregister som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0-preview |
| En anpassad IPsec/IKE-princip måste tillämpas på alla azure-anslutningar för virtuella nätverksgatewayer | Den här principen säkerställer att alla anslutningar för virtuella Azure-nätverksgatewayer använder en anpassad IKE-princip (Internet Protocol Security(Ipsec)/Internet Key Exchange(IKE). Algoritmer och viktiga styrkor som stöds – https://aka.ms/AA62kb0 | Granskning, inaktiverad | 1.0.0 |
| Alla flödesloggresurser ska vara i aktiverat tillstånd | Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| App Service-appar bör använda en tjänstslutpunkt för virtuellt nätverk | Använd tjänstslutpunkter för virtuella nätverk för att begränsa åtkomsten till din app från valda undernät från ett virtuellt Azure-nätverk. Mer information om App Service-tjänstslutpunkter finns i https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska flödesloggkonfiguration för varje virtuellt nätverk | Granska för virtuellt nätverk för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom det virtuella nätverket. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.0.1 |
| Azure Application Gateway ska distribueras med Azure WAF | Kräver att Azure Application Gateway-resurser distribueras med Azure WAF. | Granska, neka, inaktiverad | 1.0.0 |
| Azure-brandväggsprincipen bör aktivera TLS-inspektion i programregler | Aktivering av TLS-inspektion rekommenderas för alla programregler för att identifiera, avisera och minimera skadlig aktivitet i HTTPS. Mer information om TLS-inspektion med Azure Firewall finns i https://aka.ms/fw-tlsinspect | Granska, neka, inaktiverad | 1.0.0 |
| Azure Firewall Premium bör konfigurera ett giltigt mellanliggande certifikat för att aktivera TLS-inspektion | Konfigurera ett giltigt mellanliggande certifikat och aktivera Azure Firewall Premium TLS-inspektion för att identifiera, varna och minimera skadlig aktivitet i HTTPS. Mer information om TLS-inspektion med Azure Firewall finns i https://aka.ms/fw-tlsinspect | Granska, neka, inaktiverad | 1.0.0 |
| Azure VPN-gatewayer bör inte använda "grundläggande" SKU | Den här principen säkerställer att VPN-gatewayer inte använder "grundläggande" SKU. | Granskning, inaktiverad | 1.0.0 |
| Azure Web Application Firewall på Azure Application Gateway bör ha kontroll av begärandetext aktiverat | Se till att brandväggar för webbprogram som är associerade med Azure Application Gateways har kontroll av begärandetext aktiverad. Detta gör att WAF kan inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web Application Firewall på Azure Front Door bör ha begärandetextkontroll aktiverad | Se till att brandväggar för webbprogram som är associerade med Azure Front Doors har kontroll av begärandetext aktiverat. Detta gör att WAF kan inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Bot Protection ska vara aktiverat för Azure Application Gateway WAF | Den här principen säkerställer att robotskyddet är aktiverat i alla Waf-principer (Web Application Gateway Web Application Firewall) | Granska, neka, inaktiverad | 1.0.0 |
| Bot Protection ska vara aktiverat för Azure Front Door WAF | Den här principen säkerställer att robotskydd är aktiverat i alla WaF-principer (Azure Front Door Web Application Firewall) | Granska, neka, inaktiverad | 1.0.0 |
| Kringgå listan över intrångsidentifierings- och skyddssystem (IDPS) bör vara tom i Firewall Policy Premium | Med listan över förbikopplingslistor för intrångsidentifiering och skyddssystem (IDPS) kan du inte filtrera trafik till någon av de IP-adresser, intervall och undernät som anges i listan över förbikopplingar. Aktivering av IDPS rekommenderas dock på nytt för alla trafikflöden för att bättre identifiera kända hot. Mer information om signaturer för intrångsidentifiering och skyddssystem (IDPS) med Azure Firewall Premium finns i https://aka.ms/fw-idps-signature | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera diagnostikinställningar för Azure-nätverkssäkerhetsgrupper till Log Analytics-arbetsytan | Distribuera diagnostikinställningar till Azure Network Security Groups för att strömma resursloggar till en Log Analytics-arbetsyta. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera nätverkssäkerhetsgrupper för att aktivera trafikanalys | Trafikanalys kan aktiveras för alla nätverkssäkerhetsgrupper som finns i en viss region med de inställningar som anges när principen skapas. Om trafikanalys redan har aktiverats skriver principen inte över inställningarna. Flödesloggar är också aktiverade för nätverkssäkerhetsgrupper som inte har den. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera nätverkssäkerhetsgrupper för att använda en specifik arbetsyta, lagringskonto och kvarhållningsprincip för flödesloggar för trafikanalys | Om trafikanalys redan har aktiverats skriver principen över sina befintliga inställningar med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera virtuellt nätverk för att aktivera flödeslogg och trafikanalys | Trafikanalys och flödesloggar kan aktiveras för alla virtuella nätverk som finns i en viss region med de inställningar som anges när principen skapas. Den här principen skriver inte över den aktuella inställningen för virtuella nätverk som redan har funktionen aktiverad. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.1.1 |
| Konfigurera virtuella nätverk för att framtvinga arbetsyta, lagringskonto och kvarhållningsintervall för Flödesloggar och Traffic Analytics | Om ett virtuellt nätverk redan har trafikanalys aktiverat skriver den här principen över sina befintliga inställningar med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Cosmos DB-databaser som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Distribuera en flödesloggresurs med målnätverkssäkerhetsgruppen | Konfigurerar flödesloggen för en specifik nätverkssäkerhetsgrupp. Det gör det möjligt att logga information om IP-trafik som flödar via en nätverkssäkerhetsgrupp. Flödesloggen hjälper till att identifiera okänd eller oönstrade trafik, verifiera nätverksisolering och efterlevnad av företagets åtkomstregler, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. | deployIfNotExists | 1.1.0 |
| Distribuera en flödesloggresurs med ett virtuellt målnätverk | Konfigurerar flödesloggen för ett specifikt virtuellt nätverk. Det gör det möjligt att logga information om IP-trafik som flödar genom ett virtuellt nätverk. Flödesloggen hjälper till att identifiera okänd eller oönstrade trafik, verifiera nätverksisolering och efterlevnad av företagets åtkomstregler, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. | DeployIfNotExists, inaktiverad | 1.1.1 |
| Distribuera network watcher när virtuella nätverk skapas | Den här principen skapar en resurs för nätverksbevakare i regioner med virtuella nätverk. Du måste se till att det finns en resursgrupp med namnet networkWatcherRG, som ska användas för att distribuera nätverksbevakarinstanser. | DeployIfNotExists | 1.0.0 |
| Aktivera hastighetsbegränsningsregel för att skydda mot DDoS-attacker på Azure Front Door WAF | Hastighetsbegränsningsregeln för Azure Web Application Firewall (WAF) för Azure Front Door styr antalet begäranden som tillåts från en viss klient-IP-adress till programmet under en hastighetsgräns. | Granska, neka, inaktiverad | 1.0.0 |
| Event Hub ska använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla händelsehubbar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Firewall Policy Premium bör göra det möjligt för alla IDPS-signaturregler att övervaka alla inkommande och utgående trafikflöden | Alla signaturregler för intrångsidentifiering och skyddssystem (IDPS) aktiveras på nytt för att bättre identifiera kända hot i trafikflödena. Mer information om signaturer för intrångsidentifiering och skyddssystem (IDPS) med Azure Firewall Premium finns i https://aka.ms/fw-idps-signature | Granska, neka, inaktiverad | 1.0.0 |
| Firewall Policy Premium bör aktivera IDPS (Intrusion Detection and Prevention System) | Genom att aktivera IDPS (Intrusion Detection and Prevention System) kan du övervaka nätverket för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den. Mer information om IDPS (Intrusion Detection and Prevention System) med Azure Firewall Premium finns i https://aka.ms/fw-idps | Granska, neka, inaktiverad | 1.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Gateway-undernät ska inte konfigureras med en nätverkssäkerhetsgrupp | Den här principen nekar om ett gateway-undernät har konfigurerats med en nätverkssäkerhetsgrupp. Om du tilldelar en nätverkssäkerhetsgrupp till ett gatewayundernät slutar gatewayen att sluta fungera. | avvisa | 1.0.0 |
| Key Vault bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Nyckelvalv som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Migrera WAF från WAF Config till WAF-princip på Application Gateway | Om du har WAF-konfiguration i stället för WAF-princip kanske du vill flytta till den nya WAF-principen. Framöver stöder brandväggsprincipen WAF-principinställningar, hanterade regeluppsättningar, undantag och inaktiverade regelgrupper. | Granska, neka, inaktiverad | 1.0.0 |
| Nätverksgränssnitt bör inaktivera IP-vidarebefordran | Den här principen nekar de nätverksgränssnitt som aktiverade IP-vidarebefordran. Inställningen för IP-vidarebefordran inaktiverar Azures kontroll av källan och målet för ett nätverksgränssnitt. Detta bör granskas av nätverkssäkerhetsteamet. | avvisa | 1.0.0 |
| Nätverksgränssnitt bör inte ha offentliga IP-adresser | Den här principen nekar de nätverksgränssnitt som har konfigurerats med offentliga IP-adresser. Offentliga IP-adresser gör det möjligt för Internet-resurser att kommunicera ingående till Azure-resurser och Azure-resurser att kommunicera utgående till Internet. Detta bör granskas av nätverkssäkerhetsteamet. | avvisa | 1.0.0 |
| Network Watcher-flödesloggar bör ha trafikanalys aktiverat | Trafikanalys analyserar flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverket med mera. | Granskning, inaktiverad | 1.0.1 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL Server bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla SQL Server-servrar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla lagringskonton som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
| Prenumerationen bör konfigurera Azure Firewall Premium för att tillhandahålla ytterligare skyddslager | Azure Firewall Premium tillhandahåller avancerat skydd mot hot som uppfyller behoven i mycket känsliga och reglerade miljöer. Distribuera Azure Firewall Premium till din prenumeration och se till att all tjänsttrafik skyddas av Azure Firewall Premium. Mer information om Azure Firewall Premium finns i https://aka.ms/fw-premium | AuditIfNotExists, inaktiverad | 1.0.0 |
| Virtuella datorer ska vara anslutna till ett godkänt virtuellt nätverk | Den här principen granskar alla virtuella datorer som är anslutna till ett virtuellt nätverk som inte har godkänts. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella nätverk bör skyddas av Azure DDoS Protection | Skydda dina virtuella nätverk mot volym- och protokollattacker med Azure DDoS Protection. Mer information finns på https://aka.ms/ddosprotectiondocs. | Ändra, granska, inaktiverad | 1.0.1 |
| Virtuella nätverk bör använda angiven virtuell nätverksgateway | Den här principen granskar alla virtuella nätverk om standardvägen inte pekar på den angivna virtuella nätverksgatewayen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory-identiteter för autentisering. Läs mer om Azure AD-autentisering på https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Granska, neka, inaktiverad | 1.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Brandvägg för webbaserade program (WAF) bör aktivera alla brandväggsregler för Application Gateway | Om du aktiverar alla WAF-regler (Web Application Firewall) stärker du programsäkerheten och skyddar dina webbprogram mot vanliga säkerhetsrisker. Mer information om Brandvägg för webbaserade program (WAF) med Application Gateway finns i https://aka.ms/waf-ag | Granska, neka, inaktiverad | 1.0.1 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Taggar
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till en tagg i resursgrupper | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Lägg till en tagg i resurser | Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. Taggar för resursgrupper ändras inte. | modify | 1.0.0 |
| Lägga till en tagg i prenumerationer | Lägger till den angivna taggen och värdet i prenumerationer via en reparationsaktivitet. Om taggen finns med ett annat värde kommer den inte att ändras. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resursgrupper | Lägger till eller ersätter den angivna taggen och värdet när en resursgrupp skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Lägg till eller ersätt en tagg i resurser | Lägger till eller ersätter den angivna taggen och värdet när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Taggar för resursgrupper ändras inte. | modify | 1.0.0 |
| Lägga till eller ersätta en tagg i prenumerationer | Lägger till eller ersätter den angivna taggen och värdet för prenumerationer via en reparationsaktivitet. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsåtgärd. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i. | modify | 1.0.0 |
| Lägg till en tagg och dess värde från resursgruppen | Lägger till den angivna taggen och värdet från resursgruppen när en resurs som saknar taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapats innan principen tillämpades förrän resurserna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Lägg till en tagg och dess värde i resursgrupperna | Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resursgrupper som skapats innan principen tillämpades förrän resursgrupperna har ändrats. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.0 |
| Lägg till en tagg och dess värde till resurserna | Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapats innan principen tillämpades förrän resurserna har ändrats. Avser inte resursgrupper. Det finns nya policyer för "ändra" effekt som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc). | append | 1.0.1 |
| Ärv en tagg från resursgruppen | Lägger till eller ersätter den angivna taggen och värdet från den överordnade resursgruppen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Ärv en tagg från resursgruppen om den saknas | Lägger till den angivna taggen och värdet från den överordnade resursgruppen när en resurs som saknar taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Ärv en tagg från prenumerationen | Lägger till eller ersätter den angivna taggen och värdet i den överordnade prenumerationen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. | modify | 1.0.0 |
| Ärv en tagg från prenumerationen om den saknas | Lägger till den angivna taggen och värdet från den innehållna prenumerationen när en resurs som saknar taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde kommer den inte att ändras. | modify | 1.0.0 |
| Kräv en tagg och dess värde i resursgrupper | Lägger till en nödvändig tagg och dess värde i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg och dess värde i resurser | Lägger till en nödvändig tagg och dess värde. Avser inte resursgrupper. | avvisa | 1.0.1 |
| Kräv en tagg i resursgrupper | Framtvingar förekomst av en tagg i resursgrupper. | avvisa | 1.0.0 |
| Kräv en tagg i resurser | Framtvingar förekomst av en tagg. Avser inte resursgrupper. | avvisa | 1.0.1 |
Allmänt
| Namn (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillåtna platser | Med den här principen kan du begränsa vilka platser som organisationen kan ange när den distribuerar resurser. Den används för att genomdriva kraven på geo-efterlevnad. Resursgrupper, Microsoft.AzureActiveDirectory/b2cDirectories och resurser som använder regionen ”global” undantas. | avvisa | 1.0.0 |
| Tillåtna platser för resursgrupper | Med den här principen kan du begränsa de platser som din organisation kan skapa resursgrupper i. Den används för att genomdriva kraven på geo-efterlevnad. | avvisa | 1.0.0 |
| Tillåtna resurstyper | Med den här principen kan du ange de resurstyper som din organisation kan distribuera. Endast resurstyper som stöder "taggar" och "plats" påverkas av den här principen. Om du vill begränsa alla resurser duplicerar du den här principen och ändrar läget till "Alla". | avvisa | 1.0.0 |
| Granskningsresursplatsen matchar resursgruppens plats | Granska att resursplatsen matchar resursgruppens plats | granska | 2.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Konfigurera prenumerationer för att konfigurera förhandsversionsfunktioner | Den här principen utvärderar den befintliga prenumerationens förhandsversionsfunktioner. Prenumerationer kan åtgärdas för att registrera sig för en ny förhandsversionsfunktion. Nya prenumerationer registreras inte automatiskt. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.1 |
| Tillåt inte borttagning av resurstyper | Med den här principen kan du ange de resurstyper som din organisation kan skydda mot oavsiktlig borttagning genom att blockera borttagningsanrop med hjälp av åtgärden Neka. | DenyAction, inaktiverad | 1.0.1 |
| Tillåt inte M365-resurser | Blockera skapandet av M365-resurser. | Granska, neka, inaktiverad | 1.0.0 |
| Tillåt inte MCPP-resurser | Blockera skapandet av MCPP-resurser. | Granska, neka, inaktiverad | 1.0.0 |
| Exkludera resurser för användningskostnader | Med den här principen kan du använda resurser för användningskostnader. Användningskostnader omfattar saker som lagring med dataförbrukning och Azure-resurser som faktureras baserat på användning. | Granska, neka, inaktiverad | 1.0.0 |
| Otillåtna resurstyper | Begränsa vilka resurstyper som kan distribueras i din miljö. Att begränsa resurstyper kan minska komplexiteten och angreppsytan i din miljö samtidigt som det hjälper till att hantera kostnader. Efterlevnadsresultat visas endast för icke-kompatibla resurser. | Granska, neka, inaktiverad | 2.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.