你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 资源管理器的 Azure Policy 法规遵从性控制

Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 资源管理器的“符合域”和“安全控件” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略本身;这不确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 这些符合性标准的控制措施和 Azure Policy 法规符合性定义之间的关联可能会随着时间的推移而发生变化。

澳大利亚政府 ISM PROTECTED

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
系统强化指导原则 - 操作系统强化 380 操作系统配置 - 380 应从订阅中删除弃用的帐户 3.0.0
系统强化指导原则 - 操作系统强化 380 操作系统配置 - 380 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 414 用户识别 - 414 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 414 用户识别 - 414 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 414 用户识别 - 414 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 430 暂停对系统的访问 - 430 应从订阅中删除弃用的帐户 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 430 暂停对系统的访问 - 430 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 441 临时访问系统 - 441 应从订阅中删除弃用的帐户 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 441 临时访问系统 - 441 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 441 临时访问系统 - 441 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 441 临时访问系统 - 441 应从订阅中删除具有写入权限的外部帐户 3.0.0
媒体指导原则 - 媒体使用情况 947 使用媒体进行数据传输 - 947 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
系统强化指导原则 - 身份验证强化 1173 多重身份验证 - 1173 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
系统强化指导原则 - 身份验证强化 1173 多重身份验证 - 1173 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
系统强化指导原则 - 身份验证强化 1384 多重身份验证 - 1384 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
系统强化指导原则 - 身份验证强化 1384 多重身份验证 - 1384 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
系统强化指导原则 - 身份验证强化 1384 多重身份验证 - 1384 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 1503 对系统的标准访问 - 1503 只多只为订阅指定 3 个所有者 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 1503 对系统的标准访问 - 1503 应为订阅分配了多个所有者 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 只多只为订阅指定 3 个所有者 3.0.0
人员安全性指导原则 - 对系统及其资源的访问 1508 对系统的特权访问 - 1508 应为订阅分配了多个所有者 3.0.0
系统管理指导原则 - 数据备份和还原 1511 执行备份 - 1511 审核未配置灾难恢复的虚拟机 1.0.0

Azure 安全基准

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
网络安全 NS-10 确保域名系统 (DNS) 安全性 应启用 Azure Defender for DNS 1.0.0
标识管理 IM-3 安全自动地管理应用程序标识 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
标识管理 IM-6 使用强身份验证控制 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
标识管理 IM-6 使用强身份验证控制 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
标识管理 IM-6 使用强身份验证控制 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
特权访问 PA-1 隔离和限制高度特权/管理用户 只多只为订阅指定 3 个所有者 3.0.0
特权访问 PA-1 隔离和限制高度特权/管理用户 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
特权访问 PA-1 隔离和限制高度特权/管理用户 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
特权访问 PA-1 隔离和限制高度特权/管理用户 应为订阅分配了多个所有者 3.0.0
特权访问 PA-4 定期评审和协调用户访问权限 应从订阅中删除弃用的帐户 3.0.0
特权访问 PA-4 定期评审和协调用户访问权限 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
特权访问 PA-4 定期评审和协调用户访问权限 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
特权访问 PA-4 定期评审和协调用户访问权限 应从订阅中删除拥有读取权限的外部帐户 3.0.0
特权访问 PA-4 定期评审和协调用户访问权限 应从订阅中删除具有写入权限的外部帐户 3.0.0
数据保护 DP-2 监视敏感数据的异常情况和威胁 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
数据保护 DP-2 监视敏感数据的异常情况和威胁 应启用适用于开源关系数据库的 Azure Defender 1.0.0
数据保护 DP-2 监视敏感数据的异常情况和威胁 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
数据保护 DP-2 监视敏感数据的异常情况和威胁 应启用适用于存储的 Azure Defender 1.0.3
数据保护 DP-8 确保密钥和证书存储库的安全性 应启用 Azure Defender for Key Vault 1.0.3
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用适用于应用服务的 Azure Defender 1.0.3
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用 Azure Defender for DNS 1.0.0
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用 Azure Defender for Key Vault 1.0.3
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用适用于开源关系数据库的 Azure Defender 1.0.0
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用 Azure Defender for Resource Manager 1.0.0
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用适用于服务器的 Azure Defender 1.0.3
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用适用于存储的 Azure Defender 1.0.3
日志记录和威胁检测 LT-1 启用威胁检测功能 应启用 Microsoft Defender for Containers 1.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用适用于应用服务的 Azure Defender 1.0.3
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用 Azure Defender for DNS 1.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用 Azure Defender for Key Vault 1.0.3
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用适用于开源关系数据库的 Azure Defender 1.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用 Azure Defender for Resource Manager 1.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用适用于服务器的 Azure Defender 1.0.3
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用适用于存储的 Azure Defender 1.0.3
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 应启用 Microsoft Defender for Containers 1.0.0
日志记录和威胁检测 LT-5 集中执行安全日志管理和分析 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
事件响应 IR-2 准备 - 设置事件通知 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-2 准备 - 设置事件通知 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-2 准备 - 设置事件通知 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用适用于开源关系数据库的 Azure Defender 1.0.0
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-3 检测和分析 - 基于高质量警报创建事件 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用适用于开源关系数据库的 Azure Defender 1.0.0
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-5 检测和分析 - 设置事件优先级 应启用 Microsoft Defender for Containers 1.0.0
终结点安全性 ES-1 使用终结点检测和响应 (EDR) 应启用适用于服务器的 Azure Defender 1.0.3

Azure 安全基准 v1

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
事件响应 10.4 提供安全事件联系人详细信息并针对安全事件配置警报通知 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
日志记录和监视 2.2 配置安全日志集中管理 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
日志记录和监视 2.2 配置安全日志集中管理 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
日志记录和监视 2.2 配置安全日志集中管理 Azure Monitor 应从所有区域收集活动日志 2.0.0
日志记录和监视 2.4 从操作系统收集安全日志 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
标识和访问控制 3.1 维护管理帐户的清单 只多只为订阅指定 3 个所有者 3.0.0
标识和访问控制 3.1 维护管理帐户的清单 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
标识和访问控制 3.1 维护管理帐户的清单 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
标识和访问控制 3.1 维护管理帐户的清单 应为订阅分配了多个所有者 3.0.0
标识和访问控制 3.10 定期评审和协调用户访问权限 应从订阅中删除弃用的帐户 3.0.0
标识和访问控制 3.10 定期评审和协调用户访问权限 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
标识和访问控制 3.10 定期评审和协调用户访问权限 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
标识和访问控制 3.10 定期评审和协调用户访问权限 应从订阅中删除拥有读取权限的外部帐户 3.0.0
标识和访问控制 3.10 定期评审和协调用户访问权限 应从订阅中删除具有写入权限的外部帐户 3.0.0
标识和访问控制 3.3 使用专用管理帐户 只多只为订阅指定 3 个所有者 3.0.0
标识和访问控制 3.3 使用专用管理帐户 应为订阅分配了多个所有者 3.0.0
标识和访问控制 3.5 对所有基于 Azure Active Directory 的访问使用多重身份验证 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
标识和访问控制 3.5 对所有基于 Azure Active Directory 的访问使用多重身份验证 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
标识和访问控制 3.5 对所有基于 Azure Active Directory 的访问使用多重身份验证 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
数据保护 4.9 记录对关键 Azure 资源的更改并发出警报 Azure Monitor 应从所有区域收集活动日志 2.0.0

加拿大联邦 PBMM

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 应从订阅中删除弃用的帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 AC-5 职责分离 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-5 职责分离 应为订阅分配了多个所有者 3.0.0
访问控制 AC-6 最小特权 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-6 最小特权 应为订阅分配了多个所有者 3.0.0
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 IA-2(1) 标识和身份验证(组织用户)| 对特权帐户的网络访问 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2(1) 标识和身份验证(组织用户)| 对特权帐户的网络访问 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0

CIS Microsoft Azure 基础基准检验 1.1.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.1 确保为所有特权用户启用多重身份验证 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.1 确保为所有特权用户启用多重身份验证 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.2 确保为所有非特权用户启用多重身份验证 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.3 确保没有任何来宾用户 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.3 确保没有任何来宾用户 应从订阅中删除拥有读取权限的外部帐户 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.3 确保没有任何来宾用户 应从订阅中删除具有写入权限的外部帐户 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用适用于应用服务的 Azure Defender 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用 Azure Defender for Key Vault 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用适用于服务器的 Azure Defender 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用适用于存储的 Azure Defender 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已选择标准定价层 应启用 Microsoft Defender for Containers 1.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.16 确保已设置“安全联系人电子邮件” 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
安全中心 CIS Microsoft Azure 基础基准建议 2.18 确保将“发送高严重性警报的电子邮件通知”设置为“打开” 应启用高严重性警报的电子邮件通知 1.0.1
安全中心 CIS Microsoft Azure 基础基准建议 2.19 确保将“同时将电子邮件发送给订阅所有者”设置为“打开” 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.2 确保“监视代理的自动预配”设置为“打开” 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.1.1 确保日志配置文件存在 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.1.2 确保将“活动日志保留期”设置为 365 天或更长时间 活动日志至少应保留一年 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.1.3 确保审核配置文件捕获所有活动 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.1.4 确保日志配置文件捕获所有区域(包括全球)的活动日志 Azure Monitor 应从所有区域收集活动日志 2.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.1 确保存在“创建策略分配”的活动日志警报 特定策略操作应有活动日志警报 3.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.2 确保存在“创建或更新网络安全组”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.3 确保存在“删除网络安全组”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.4 确保存在“创建或更新网络安全组规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.5 确保存在“删除网络安全组规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.6 确保存在“创建或更新安全解决方案”的活动日志警报 特定安全操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.7 确保存在“删除安全解决方案”的活动日志警报 特定安全操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.8 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.8 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.9 确保存在“更新安全策略”的活动日志警报 特定安全操作应有活动日志警报 1.0.0

CIS Microsoft Azure 基础基准检验 1.3.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.1 确保为所有特权用户启用多重身份验证 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.1 确保为所有特权用户启用多重身份验证 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.2 确保为所有非特权用户启用多重身份验证 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.3 确保每月对来宾用户进行审核 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.3 确保每月对来宾用户进行审核 应从订阅中删除拥有读取权限的外部帐户 3.0.0
标识和访问管理 CIS Microsoft Azure 基础基准建议 1.3 确保每月对来宾用户进行审核 应从订阅中删除具有写入权限的外部帐户 3.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.1 确保已为服务器将 Azure Defender 设置为“启用” 应启用适用于服务器的 Azure Defender 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.11 确保“监视代理的自动预配”设置为“打开” 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
安全中心 CIS Microsoft Azure 基础基准建议 2.13 确保已使用安全联系人电子邮件配置“其他电子邮件地址” 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
安全中心 CIS Microsoft Azure 基础基准建议 2.14 确保“在出现具有以下严重性的警报时发送通知”设置为“高” 应启用高严重性警报的电子邮件通知 1.0.1
安全中心 CIS Microsoft Azure 基础基准建议 2.2 确保已为应用服务将 Azure Defender 设置为“启用” 应启用适用于应用服务的 Azure Defender 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.3 确保已为 Azure SQL 数据库服务器将 Azure Defender 设置为“启用” 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
安全中心 CIS Microsoft Azure 基础基准建议 2.4 确保已为计算机上的 SQL 服务器将 Azure Defender 设置为“启用” 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
安全中心 CIS Microsoft Azure 基础基准建议 2.5 确保已为存储将 Azure Defender 设置为“启用” 应启用适用于存储的 Azure Defender 1.0.3
安全中心 CIS Microsoft Azure 基础基准建议 2.6 确保已为 Kubernetes 将 Azure Defender 设置为“启用” 应启用 Microsoft Defender for Containers 1.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.7 确保已为容器注册表将 Azure Defender 设置为“启用” 应启用 Microsoft Defender for Containers 1.0.0
安全中心 CIS Microsoft Azure 基础基准建议 2.8 确保已为 Key Vault 将 Azure Defender 设置为“启用” 应启用 Azure Defender for Key Vault 1.0.3
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.1 确保存在“创建策略分配”的活动日志警报 特定策略操作应有活动日志警报 3.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.2 确保删除策略分配具有活动日志警报 特定策略操作应有活动日志警报 3.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.3 确保存在“创建或更新网络安全组”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.4 确保存在“删除网络安全组”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.5 确保存在“创建或更新网络安全组规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.6 确保存在“删除网络安全组规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.7 确保存在“创建或更新安全解决方案”的活动日志警报 特定安全操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.8 确保存在“删除安全解决方案”的活动日志警报 特定安全操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.9 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0
日志记录和监视 CIS Microsoft Azure 基础基准检验建议 5.2.9 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 特定管理操作应有活动日志警报 1.0.0

CMMC 级别 3

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应从订阅中删除弃用的帐户 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 AC.2.007 对特定安全功能和特权帐户等内容采用最小特权原则。 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 AC.2.007 对特定安全功能和特权帐户等内容采用最小特权原则。 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 AC.3.017 区分个体的责任,减少无串谋的恶意活动的风险。 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC.3.017 区分个体的责任,减少无串谋的恶意活动的风险。 应为订阅分配了多个所有者 3.0.0
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.018 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 特定管理操作应有活动日志警报 1.0.0
访问控制 AC.3.021 授权远程执行特权命令和远程访问安全相关信息。 特定安全操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定策略操作应有活动日志警报 3.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 特定安全操作应有活动日志警报 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 Azure Monitor 应从所有区域收集活动日志 2.0.0
审核和责任 AU.2.041 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 活动日志至少应保留一年 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定管理操作应有活动日志警报 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定策略操作应有活动日志警报 3.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 特定安全操作应有活动日志警报 1.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 Azure Monitor 应从所有区域收集活动日志 2.0.0
审核和责任 AU.2.042 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
审核和责任 AU.3.049 保护审核信息和审核日志工具免遭未经授权的访问、修改和删除。 特定策略操作应有活动日志警报 3.0.0
安全评估 CA.2.158 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 特定安全操作应有活动日志警报 1.0.0
安全评估 CA.3.161 持续监视安全控制措施,确保措施持续有效。 特定安全操作应有活动日志警报 1.0.0
配置管理 CM.2.061 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 特定策略操作应有活动日志警报 3.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定管理操作应有活动日志警报 1.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定管理操作应有活动日志警报 1.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定管理操作应有活动日志警报 1.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定管理操作应有活动日志警报 1.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定管理操作应有活动日志警报 1.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定策略操作应有活动日志警报 3.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 特定安全操作应有活动日志警报 1.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 Azure Monitor 应从所有区域收集活动日志 2.0.0
配置管理 CM.2.065 跟踪、评审、批准/拒绝并记录对组织系统的更改。 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA.1.077 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA.3.083 使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA.3.083 使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA.3.083 使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA.3.084 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA.3.084 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA.3.084 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
事件响应 IR.2.092 建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR.2.092 建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR.2.092 建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
事件响应 IR.2.093 检测和报告事件。 特定安全操作应有活动日志警报 1.0.0
事件响应 IR.2.093 检测和报告事件。 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR.2.093 检测和报告事件。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR.2.093 检测和报告事件。 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR.2.093 检测和报告事件。 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR.2.093 检测和报告事件。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR.2.093 检测和报告事件。 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR.2.093 检测和报告事件。 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR.2.093 检测和报告事件。 应启用 Microsoft Defender for Containers 1.0.0
恢复 RE.2.137 定期执行和测试数据备份。 审核未配置灾难恢复的虚拟机 1.0.0
恢复 RE.3.139 根据组织规定定期执行完整、全面且可复原的数据备份。 审核未配置灾难恢复的虚拟机 1.0.0
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用适用于应用服务的 Azure Defender 1.0.3
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用 Azure Defender for Key Vault 1.0.3
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用适用于服务器的 Azure Defender 1.0.3
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用适用于存储的 Azure Defender 1.0.3
风险评估 RM.2.141 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 应启用 Microsoft Defender for Containers 1.0.0
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用适用于应用服务的 Azure Defender 1.0.3
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用 Azure Defender for Key Vault 1.0.3
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用适用于服务器的 Azure Defender 1.0.3
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用适用于存储的 Azure Defender 1.0.3
风险评估 RM.2.142 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 应启用 Microsoft Defender for Containers 1.0.0
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用适用于应用服务的 Azure Defender 1.0.3
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用 Azure Defender for Key Vault 1.0.3
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用适用于服务器的 Azure Defender 1.0.3
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用适用于存储的 Azure Defender 1.0.3
风险评估 RM.2.143 根据风险评估修正漏洞。 应启用 Microsoft Defender for Containers 1.0.0
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用适用于应用服务的 Azure Defender 1.0.3
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用 Azure Defender for Key Vault 1.0.3
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用适用于服务器的 Azure Defender 1.0.3
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用适用于存储的 Azure Defender 1.0.3
风险管理 RM.3.144 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 应启用 Microsoft Defender for Containers 1.0.0
系统和通信保护 SC.3.181 将用户功能与系统管理功能分开。 只多只为订阅指定 3 个所有者 3.0.0
系统和通信保护 SC.3.181 将用户功能与系统管理功能分开。 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
系统和通信保护 SC.3.181 将用户功能与系统管理功能分开。 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
系统和通信保护 SC.3.181 将用户功能与系统管理功能分开。 应为订阅分配了多个所有者 3.0.0
系统和通信保护 SC.3.187 为组织系统中使用的加密技术建立加密密钥并进行管理。 应启用 Azure Defender for Key Vault 1.0.3
系统和通信保护 SC.3.190 保护通信会话的真实性。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
系统和通信保护 SC.3.190 保护通信会话的真实性。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
系统和通信保护 SC.3.190 保护通信会话的真实性。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI.1.213 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定策略操作应有活动日志警报 3.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 特定安全操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 Azure Monitor 应从所有区域收集活动日志 2.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI.2.216 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 活动日志至少应保留一年 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定管理操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定策略操作应有活动日志警报 3.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 特定安全操作应有活动日志警报 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 Azure Monitor 应从所有区域收集活动日志 2.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
系统和信息完整性 SI.2.217 识别未经授权使用组织系统的情况。 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0

FedRAMP 高

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除弃用的帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 AC-2 (7) 基于角色的方案 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于应用服务的 Azure Defender 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Azure Defender for DNS 1.0.0
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Azure Defender for Key Vault 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Azure Defender for Resource Manager 1.0.0
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于服务器的 Azure Defender 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于存储的 Azure Defender 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Microsoft Defender for Containers 1.0.0
访问控制 AC-3 执法机构 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 AC-3 执法机构 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 AC-3 执法机构 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制 AC-5 职责分离 应为订阅分配了多个所有者 3.0.0
访问控制 AC-6 最小特权 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-6 (7) 用户特权评审 只多只为订阅指定 3 个所有者 3.0.0
审核和责任 AU-6 审核评审、分析和报告 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 审核评审、分析和报告 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 审核评审、分析和报告 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 审核评审、分析和报告 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 审核评审、分析和报告 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (4) 集中评审和分析 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 (4) 集中评审和分析 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 (4) 中心评审和分析 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-6 (5) 集成/扫描和监视功能 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 (5) 集成/扫描和监视功能 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-12 审核生成 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-12 审核生成 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-12 审核生成 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-12 审核生成 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-12 审核生成 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-12 审核生成 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-12 审核生成 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-12 审核生成 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-12 审核生成 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-12 审核生成 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-12 (1) 系统范围/时间相关的审核线索 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-12 (1) 系统范围/时间相关的审核跟踪 应启用 Microsoft Defender for Containers 1.0.0
配置管理 CM-7 最少的功能 应启用适用于服务器的 Azure Defender 1.0.3
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
识别和身份验证 IA-2 (1) 对特权帐户的网络访问 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2 (1) 对特权帐户的网络访问 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 (2) 对非特权帐户的网络访问 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-4 标识符管理 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
事件响应 IR-4 事件处理 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-4 事件处理 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-4 事件处理 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-4 事件处理 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-4 事件处理 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-4 事件处理 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-4 事件处理 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-4 事件处理 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-4 事件处理 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
事件响应 IR-5 事件监视 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-5 事件监视 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-5 事件监视 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-5 事件监视 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-5 事件监视 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-5 事件监视 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-5 事件监视 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-5 事件监视 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-5 事件监视 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
风险评估 RA-5 漏洞扫描 应启用适用于应用服务的 Azure Defender 1.0.3
风险评估 RA-5 漏洞扫描 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险评估 RA-5 漏洞扫描 应启用 Azure Defender for DNS 1.0.0
风险评估 RA-5 漏洞扫描 应启用 Azure Defender for Key Vault 1.0.3
风险评估 RA-5 漏洞扫描 应启用 Azure Defender for Resource Manager 1.0.0
风险评估 RA-5 漏洞扫描 应启用适用于服务器的 Azure Defender 1.0.3
风险评估 RA-5 漏洞扫描 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险评估 RA-5 漏洞扫描 应启用适用于存储的 Azure Defender 1.0.3
风险评估 RA-5 漏洞扫描 应启用 Microsoft Defender for Containers 1.0.0
系统和通信保护 SC-3 安全功能隔离 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for DNS 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for Resource Manager 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-2 缺陷修正 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-3 恶意代码防护 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-3 (1) 中央管理 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
系统和信息完整性 SI-4 信息系统监视 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-4 信息系统监视 应启用 Azure Defender for DNS 1.0.0
系统和信息完整性 SI-4 信息系统监视 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用 Azure Defender for Resource Manager 1.0.0
系统和信息完整性 SI-4 信息系统监视 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-4 信息系统监视 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-16 内存保护 应启用适用于服务器的 Azure Defender 1.0.3

FedRAMP 中等

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除弃用的帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 AC-2 (7) 基于角色的方案 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于应用服务的 Azure Defender 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Azure Defender for DNS 1.0.0
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Azure Defender for Key Vault 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Azure Defender for Resource Manager 1.0.0
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于服务器的 Azure Defender 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
访问控制 AC-2 (12) 帐户监视/异常使用 应启用适用于存储的 Azure Defender 1.0.3
访问控制 AC-2 (12) 帐户监视/异常使用 应启用 Microsoft Defender for Containers 1.0.0
访问控制 AC-3 执法机构 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 AC-3 执法机构 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 AC-3 执法机构 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制 AC-5 职责分离 应为订阅分配了多个所有者 3.0.0
访问控制 AC-6 最小特权 只多只为订阅指定 3 个所有者 3.0.0
审核和责任 AU-6 审核评审、分析和报告 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 审核评审、分析和报告 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 审核评审、分析和报告 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 审核评审、分析和报告 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 审核评审、分析和报告 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 审核评审、分析和报告 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-12 审核生成 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-12 审核生成 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-12 审核生成 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-12 审核生成 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-12 审核生成 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-12 审核生成 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-12 审核生成 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-12 审核生成 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-12 审核生成 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-12 审核生成 应启用 Microsoft Defender for Containers 1.0.0
配置管理 CM-7 最少的功能 应启用适用于服务器的 Azure Defender 1.0.3
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
识别和身份验证 IA-2 (1) 对特权帐户的网络访问 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2 (1) 对特权帐户的网络访问 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 (2) 对非特权帐户的网络访问 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-4 标识符管理 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
事件响应 IR-4 事件处理 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-4 事件处理 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-4 事件处理 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-4 事件处理 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-4 事件处理 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-4 事件处理 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-4 事件处理 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-4 事件处理 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-4 事件处理 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
事件响应 IR-5 事件监视 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-5 事件监视 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-5 事件监视 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-5 事件监视 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-5 事件监视 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-5 事件监视 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-5 事件监视 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-5 事件监视 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-5 事件监视 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
风险评估 RA-5 漏洞扫描 应启用适用于应用服务的 Azure Defender 1.0.3
风险评估 RA-5 漏洞扫描 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险评估 RA-5 漏洞扫描 应启用 Azure Defender for DNS 1.0.0
风险评估 RA-5 漏洞扫描 应启用 Azure Defender for Key Vault 1.0.3
风险评估 RA-5 漏洞扫描 应启用 Azure Defender for Resource Manager 1.0.0
风险评估 RA-5 漏洞扫描 应启用适用于服务器的 Azure Defender 1.0.3
风险评估 RA-5 漏洞扫描 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险评估 RA-5 漏洞扫描 应启用适用于存储的 Azure Defender 1.0.3
风险评估 RA-5 漏洞扫描 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for DNS 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for Resource Manager 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-2 缺陷修正 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-3 恶意代码防护 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-3 (1) 中央管理 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
系统和信息完整性 SI-4 信息系统监视 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-4 信息系统监视 应启用 Azure Defender for DNS 1.0.0
系统和信息完整性 SI-4 信息系统监视 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用 Azure Defender for Resource Manager 1.0.0
系统和信息完整性 SI-4 信息系统监视 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-4 信息系统监视 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI-4 信息系统监视 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-16 内存保护 应启用适用于服务器的 Azure Defender 1.0.3

HIPAA HITRUST 9.2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
特权管理 1144.01c1System.4 - 01.c 组织显式授予访问特定安全相关功能(部署在硬件、软件和固件中)和安全相关信息的权限。 只多只为订阅指定 3 个所有者 3.0.0
特权管理 1145.01c2System.1 - 01.c 已实现基于角色的访问控制,该控制能够将每位用户映射到一个或多个角色,并将每个角色映射到一个或多个系统功能。 应为订阅分配了多个所有者 3.0.0
特权管理 1146.01c2System.23 - 01.c 组织促进可避免需要使用提升的权限和系统例程来运行的程序的开发和使用,从而免掉向用户授予权限的需求。 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
特权管理 1147.01c2System.456 - 01.c 提升的权限被分配给一个与正常业务使用中不同的用户 ID,所有用户都在一个角色中访问特权服务,并且此类特权访问会被最小化。 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
特权管理 1151.01c3System.1 - 01.c 组织仅限对预定义的部分用户授予访问信息系统上特权帐户的权限。 只多只为订阅指定 3 个所有者 3.0.0
特权管理 1152.01c3System.2 - 01.c 组织审核信息系统上特权功能的执行,并确保信息系统阻止非特权用户执行特权功能。 应为订阅分配了多个所有者 3.0.0
特权管理 1154.01c3System.4 - 01.c 仅当组织评估了承包商具有遵守其安全要求的能力,且承包商同意遵守之后,才向承包商提供最低系统和物理访问权限。 只多只为订阅指定 3 个所有者 3.0.0
外部连接用户身份验证 1116.01j1Organizational.145 - 01.j 对于组织网络的所有外部连接,实现了强身份验证方法,例如多重身份验证、Radius 或 Kerberos(用于特权访问)和 CHAP(用于加密拨号方法的凭据)。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
外部连接用户身份验证 1117.01j1Organizational.23 - 01.j 供应商和业务合作伙伴的远程访问(例如出于远程维护的目的)在未使用时处于禁用/停用状态。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
外部连接用户身份验证 1118.01j2Organizational.124 - 01.j 组织实施加密(例如 VPN 解决方案或专用线路),并记录员工、承包商或第三方(例如供应商)对组织网络的远程访问。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
外部连接用户身份验证 1121.01j3Organizational.2 - 01.j 远程管理会话已获得授权、加密,并且采用了增强的安全措施。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
外部连接用户身份验证 1173.01j1Organizational.6 - 01.j 如果拨号连接未使用加密,则首席信息官 (CIO) 或其指定的代表会提供特定的书面授权。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
外部连接用户身份验证 1174.01j1Organizational.7 - 01.j 组织通过对用户和设备进行身份验证来保护对包含敏感信息的系统的无线访问。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
外部连接用户身份验证 1176.01j2Organizational.5 - 01.j 组织需要具有重新身份验证的回叫功能,以验证来自已获授权的位置的拨号连接。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
外部连接用户身份验证 1177.01j2Organizational.6 - 01.j 分配给供应商的用户 ID 按照组织的访问评审策略进行评审(每年至少一次)。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
外部连接用户身份验证 1178.01j2Organizational.7 - 01.j 节点身份验证(包括计算机证书等加密技术)充当远程用户组身份验证的替代方法,这些用户可通过该方法连接到安全的共享计算机设备。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
用户识别和身份验证 11109.01q1Organizational.57 - 01.q 组织确保不会向其他用户颁发冗余的用户 ID,并确保所有用户在本地和远程访问信息系统时都会进行唯一标识和身份验证。 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
用户识别和身份验证 11110.01q1Organizational.6 - 01.q 非组织用户(除组织用户以外的所有信息系统用户,例如患者、客户、承包商或外国公民)或代表非组织用户运行、且确定需要访问驻留在组织信息系统中的信息的进程,都会进行唯一标识和身份验证。 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
用户识别和身份验证 11111.01q2System.4 - 01.q 使用基于 PKI 的身份验证时,信息系统会通过构造并验证指向已接受的信任定位点的证书路径来验证证书,包括检查证书状态信息、强制访问相应私钥、将标识映射到个人或组的相应帐户,以及实现吊销数据的本地缓存,从而在无法通过网络访问吊销信息时支持路径发现和验证。 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
用户识别和身份验证 11112.01q2Organizational.67 - 01.q 信息系统使用防重播的身份验证机制(例如 nonce、一次性密码或时间戳)来保护特权帐户的网络访问;而对于基于硬件令牌的身份验证,则采用满足 NIST SP 800-63-2《电子认证指南》中所述的最低令牌要求的机制。 只多只为订阅指定 3 个所有者 3.0.0
用户识别和身份验证 11208.01q1Organizational.8 - 01.q 组织要求个人独有的电子签名不能由其他任何人重复使用,也不能重新分配给其他任何人。 应为订阅分配了多个所有者 3.0.0
监视系统使用情况 1120.09ab3System.9 - 09.ab 至少每季度监视并审查一次与信息系统的未授权远程连接,如果发现未经授权的连接,则将采取相应措施。 Azure Monitor 应从所有区域收集活动日志 2.0.0
监视系统使用情况 1212.09ab1System.1 - 09.ab 满足与监视授权访问和未授权访问尝试有关的所有适用法律要求。 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
监视系统使用情况 1213.09ab2System.128 - 09.ab 整个组织环境中部署的自动化系统用于监视关键事件和异常活动,以及分析系统日志并定期审查其结果。 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
监视系统使用情况 1214.09ab2System.3456 - 09.ab 监视包括特权操作、授权访问或未授权访问尝试,这些尝试包括对停用帐户以及系统警报或故障的访问尝试。 Azure Monitor 应从所有区域收集活动日志 2.0.0
监视系统使用情况 1219.09ab3System.10 - 09.ab 信息系统能够根据可选标准自动处理所关注事件的审核记录。 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
监视系统使用情况 1220.09ab3System.56 - 09.ab 监视包括入站和出站通信以及文件完整性监视。 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
管理员和操作员日志 1270.09ad1System.12 - 09.ad 组织确保启用正确的日志记录,以便审核管理员活动;并定期审阅系统管理员和操作员日志。 特定管理操作应有活动日志警报 1.0.0
管理员和操作员日志 1271.09ad1System.1 - 09.ad 在系统和网络管理员的控制之外托管的入侵检测系统用于监视系统和网络管理活动的合规性。 特定管理操作应有活动日志警报 1.0.0
业务连续性和风险评估 1634.12b1Organizational.1 - 12.b 组织确定需要业务连续性的关键业务流程。 审核未配置灾难恢复的虚拟机 1.0.0
业务连续性和风险评估 1638.12b2Organizational.345 - 12.b 业务连续性风险评估 (i) 每年都会在业务资源和流程所有者的充分参与下进行;(ii) 考虑所有业务流程,不仅限于信息资产,还包括特定于信息安全的结果;(iii) 根据与组织相关的关键业务目标和标准(包括关键资源、中断的影响、允许的中断时间和恢复优先级)识别、量化风险并确定其优先级。 审核未配置灾难恢复的虚拟机 1.0.0

IRS 1075 2016 年 9 月

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 9.3.1.2 帐户管理 (AC-2) 应从订阅中删除弃用的帐户 3.0.0
访问控制 9.3.1.2 帐户管理 (AC-2) 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 9.3.1.2 帐户管理 (AC-2) 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 9.3.1.2 帐户管理 (AC-2) 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 9.3.1.2 帐户管理 (AC-2) 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 只多只为订阅指定 3 个所有者 3.0.0
访问控制 9.3.1.5 职责分离 (AC-5) 应为订阅分配了多个所有者 3.0.0
访问控制 9.3.1.6 最小特权 (AC-6) 只多只为订阅指定 3 个所有者 3.0.0
访问控制 9.3.1.6 最小特权 (AC-6) 应为订阅分配了多个所有者 3.0.0
应变规划 9.3.6.6 备用处理站点 (CP-7) 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 9.3.7.2 标识和身份验证(组织用户)(IA-2) 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 9.3.7.2 标识和身份验证(组织用户)(IA-2) 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 9.3.7.2 标识和身份验证(组织用户)(IA-2) 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0

ISO 27001:2013

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
信息安全组织 6.1.2 职责分离 只多只为订阅指定 3 个所有者 3.0.0
信息安全组织 6.1.2 职责分离 应为订阅分配了多个所有者 3.0.0
访问控制 9.2.3 管理特权访问权限 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 9.2.3 管理特权访问权限 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 9.2.3 管理特权访问权限 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 9.2.3 管理特权访问权限 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 9.2.4 管理用户的机密身份验证信息 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制 9.2.5 审阅用户访问权限 应从订阅中删除弃用的帐户 3.0.0
访问控制 9.2.5 审阅用户访问权限 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 9.2.5 审阅用户访问权限 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 9.2.5 审阅用户访问权限 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 9.2.6 删除或调整访问权限 应从订阅中删除弃用的帐户 3.0.0
访问控制 9.2.6 删除或调整访问权限 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 9.4.2 安全登录过程 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 9.4.2 安全登录过程 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 9.4.2 安全登录过程 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0

限制性的新西兰 ISM

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 限制性的新西兰 ISM。 有关此合规性标准的详细信息,请参阅限制性的新西兰 ISM

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
信息安全监视 ISM-7 6.4.5 可用性要求 审核未配置灾难恢复的虚拟机 1.0.0
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用适用于应用服务的 Azure Defender 1.0.3
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用 Azure Defender for Key Vault 1.0.3
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用适用于服务器的 Azure Defender 1.0.3
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用适用于存储的 Azure Defender 1.0.3
软件安全性 SS-3 14.1.9 维护强化的 SOE 应启用 Microsoft Defender for Containers 1.0.0
访问控制和密码 AC-3 16.1.35 用于系统用户标识和身份验证的方法 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制和密码 AC-5 16.1.46 暂停访问 应从订阅中删除弃用的帐户 3.0.0
访问控制和密码 AC-5 16.1.46 暂停访问 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制和密码 AC-9 16.3.5 使用特权帐户 只多只为订阅指定 3 个所有者 3.0.0
访问控制和密码 AC-11 16.4.30 Privileged Access Management 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制和密码 AC-11 16.4.30 Privileged Access Management 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制和密码 AC-11 16.4.30 Privileged Access Management 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制和密码 AC-11 16.4.30 Privileged Access Management 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制和密码 AC-11 16.4.30 Privileged Access Management 应为订阅分配了多个所有者 3.0.0

NIST SP 800-53 Rev. 5

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-2 帐户管理 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除弃用的帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 AC-2 帐户管理 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 AC-2 (7) 特权用户帐户 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用适用于应用服务的 Azure Defender 1.0.3
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用 Azure Defender for DNS 1.0.0
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用 Azure Defender for Key Vault 1.0.3
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用 Azure Defender for Resource Manager 1.0.0
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用适用于服务器的 Azure Defender 1.0.3
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用适用于存储的 Azure Defender 1.0.3
访问控制 AC-2 (12) 针对异常使用的帐户监视 应启用 Microsoft Defender for Containers 1.0.0
访问控制 AC-3 执法机构 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 AC-3 执法机构 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 AC-3 执法机构 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制 AC-5 职责分离 应为订阅分配了多个所有者 3.0.0
访问控制 AC-6 最小特权 只多只为订阅指定 3 个所有者 3.0.0
访问控制 AC-6 (7) 用户特权评审 只多只为订阅指定 3 个所有者 3.0.0
审核和责任 AU-6 审核记录评审、分析和报告 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 审核记录评审、分析和报告 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 审核记录评审、分析和报告 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 审核记录评审、分析和报告 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 审核记录评审、分析和报告 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 审核记录评审、分析和报告 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 审核记录评审、分析和报告 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 审核记录评审、分析和报告 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 审核记录评审、分析和报告 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (4) 集中评审和分析 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 (4) 集中评审和分析 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (4) 集中评审和分析 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 (4) 中心评审和分析 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-6 (5) 审核记录的集成分析 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-6 (5) 审核记录的集成分析 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-6 (5) 审核记录的集成分析 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (5) 审核记录的集成分析 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-6 (5) 审核记录的集成分析 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-6 (5) 审核记录的集成分析 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-6 (5) 审核记录的集成分析 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-6 (5) 审核记录的集成分析 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-6 (5) 审核记录的集成分析 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-6 (5) 审核记录集成分析 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-12 审核记录生成 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-12 审核记录生成 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-12 审核记录生成 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-12 审核记录生成 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-12 审核记录生成 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-12 审核记录生成 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-12 审核记录生成 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-12 审核记录生成 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-12 审核记录生成 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-12 审核记录生成 应启用 Microsoft Defender for Containers 1.0.0
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用适用于应用服务的 Azure Defender 1.0.3
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用 Azure Defender for DNS 1.0.0
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用 Azure Defender for Key Vault 1.0.3
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用 Azure Defender for Resource Manager 1.0.0
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用适用于服务器的 Azure Defender 1.0.3
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用适用于存储的 Azure Defender 1.0.3
审核和责任 AU-12 (1) 系统范围和时间相关的审核跟踪 应启用 Microsoft Defender for Containers 1.0.0
配置管理 CM-7 最少的功能 应启用适用于服务器的 Azure Defender 1.0.3
应变规划 CP-7 备用处理站点 审核未配置灾难恢复的虚拟机 1.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 标识和身份验证(组织用户) 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
识别和身份验证 IA-2 (1) 针对特权帐户的多重身份验证 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
识别和身份验证 IA-2 (1) 针对特权帐户的多重身份验证 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-2 (2) 针对非特权帐户的多重身份验证 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
识别和身份验证 IA-4 标识符管理 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
事件响应 IR-4 事件处理 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-4 事件处理 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-4 事件处理 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-4 事件处理 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-4 事件处理 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-4 事件处理 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-4 事件处理 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-4 事件处理 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-4 事件处理 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-4 事件处理 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
事件响应 IR-5 事件监视 应启用适用于应用服务的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
事件响应 IR-5 事件监视 应启用 Azure Defender for DNS 1.0.0
事件响应 IR-5 事件监视 应启用 Azure Defender for Key Vault 1.0.3
事件响应 IR-5 事件监视 应启用 Azure Defender for Resource Manager 1.0.0
事件响应 IR-5 事件监视 应启用适用于服务器的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
事件响应 IR-5 事件监视 应启用适用于存储的 Azure Defender 1.0.3
事件响应 IR-5 事件监视 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-5 事件监视 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-5 事件监视 应启用 Microsoft Defender for Containers 1.0.0
事件响应 IR-5 事件监视 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
事件响应 IR-6 (2) 与事件相关的漏洞 应启用高严重性警报的电子邮件通知 1.0.1
事件响应 IR-6 (2) 与事件相关的漏洞 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
事件响应 IR-6 (2) 与事件相关的漏洞 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
风险评估 RA-5 漏洞监视和扫描 应启用适用于应用服务的 Azure Defender 1.0.3
风险评估 RA-5 漏洞监视和扫描 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
风险评估 RA-5 漏洞监视和扫描 应启用 Azure Defender for DNS 1.0.0
风险评估 RA-5 漏洞监视和扫描 应启用 Azure Defender for Key Vault 1.0.3
风险评估 RA-5 漏洞监视和扫描 应启用 Azure Defender for Resource Manager 1.0.0
风险评估 RA-5 漏洞监视和扫描 应启用适用于服务器的 Azure Defender 1.0.3
风险评估 RA-5 漏洞监视和扫描 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
风险评估 RA-5 漏洞监视和扫描 应启用适用于存储的 Azure Defender 1.0.3
风险评估 RA-5 漏洞监视和扫描 应启用 Microsoft Defender for Containers 1.0.0
系统和通信保护 SC-3 安全功能隔离 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for DNS 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用 Azure Defender for Resource Manager 1.0.0
系统和信息完整性 SI-2 缺陷修正 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-2 缺陷修正 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI-2 缺陷修正 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-3 恶意代码防护 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-4 系统监视 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
系统和信息完整性 SI-4 系统监视 应启用适用于应用服务的 Azure Defender 1.0.3
系统和信息完整性 SI-4 系统监视 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-4 系统监视 应启用 Azure Defender for DNS 1.0.0
系统和信息完整性 SI-4 系统监视 应启用 Azure Defender for Key Vault 1.0.3
系统和信息完整性 SI-4 系统监视 应启用 Azure Defender for Resource Manager 1.0.0
系统和信息完整性 SI-4 系统监视 应启用适用于服务器的 Azure Defender 1.0.3
系统和信息完整性 SI-4 系统监视 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
系统和信息完整性 SI-4 系统监视 应启用适用于存储的 Azure Defender 1.0.3
系统和信息完整性 SI-4 系统监视 应启用 Microsoft Defender for Containers 1.0.0
系统和信息完整性 SI-4 (12) 自动化组织生成的警报 应启用高严重性警报的电子邮件通知 1.0.1
系统和信息完整性 SI-4 (12) 自动化组织生成的警报 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
系统和信息完整性 SI-4 (12) 自动化组织生成的警报 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
系统和信息完整性 SI-16 内存保护 应启用适用于服务器的 Azure Defender 1.0.3

PCI DSS 3.2.1

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
要求 3 PCI DSS v3.2.1 3.2 PCI DSS 要求 3.2 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
要求 3 PCI DSS v3.2.1 3.2 PCI DSS 要求 3.2 应从订阅中删除拥有读取权限的外部帐户 3.0.0
要求 3 PCI DSS v3.2.1 3.2 PCI DSS 要求 3.2 应从订阅中删除具有写入权限的外部帐户 3.0.0
要求 3 PCI DSS v3.2.1 3.2 PCI DSS 要求 3.2 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
要求 3 PCI DSS v3.2.1 3.2 PCI DSS 要求 3.2 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
要求 7 PCI DSS v3.2.1 7.1.1 PCI DSS 要求 7.1.1 只多只为订阅指定 3 个所有者 3.0.0
要求 7 PCI DSS v3.2.1 7.1.1 PCI DSS 要求 7.1.1 应为订阅分配了多个所有者 3.0.0
要求 7 PCI DSS v3.2.1 7.1.2 PCI DSS 要求 7.1.2 只多只为订阅指定 3 个所有者 3.0.0
要求 7 PCI DSS v3.2.1 7.1.2 PCI DSS 要求 7.1.2 应为订阅分配了多个所有者 3.0.0
要求 7 PCI DSS v3.2.1 7.1.3 PCI DSS 要求 7.1.3 只多只为订阅指定 3 个所有者 3.0.0
要求 7 PCI DSS v3.2.1 7.1.3 PCI DSS 要求 7.1.3 应为订阅分配了多个所有者 3.0.0
要求 7 PCI DSS v3.2.1 7.2.1 PCI DSS 要求 7.2.1 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
要求 7 PCI DSS v3.2.1 7.2.1 PCI DSS 要求 7.2.1 应从订阅中删除拥有读取权限的外部帐户 3.0.0
要求 7 PCI DSS v3.2.1 7.2.1 PCI DSS 要求 7.2.1 应从订阅中删除具有写入权限的外部帐户 3.0.0
要求 7 PCI DSS v3.2.1 7.2.1 PCI DSS 要求 7.2.1 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
要求 7 PCI DSS v3.2.1 7.2.1 PCI DSS 要求 7.2.1 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
要求 8 PCI DSS v3.2.1 8.1.2 PCI DSS 要求 8.1.2 应从订阅中删除弃用的帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.2 PCI DSS 要求 8.1.2 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.2 PCI DSS 要求 8.1.2 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.2 PCI DSS 要求 8.1.2 应从订阅中删除拥有读取权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.2 PCI DSS 要求 8.1.2 应从订阅中删除具有写入权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.3 PCI DSS 要求 8.1.3 应从订阅中删除弃用的帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.3 PCI DSS 要求 8.1.3 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.5 PCI DSS 要求 8.1.5 应从订阅中删除弃用的帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.5 PCI DSS 要求 8.1.5 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.5 PCI DSS 要求 8.1.5 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.5 PCI DSS 要求 8.1.5 应从订阅中删除拥有读取权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.1.5 PCI DSS 要求 8.1.5 应从订阅中删除具有写入权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.3.1 PCI DSS 要求 8.3.1 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.3.1 PCI DSS 要求 8.3.1 应从订阅中删除拥有读取权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.3.1 PCI DSS 要求 8.3.1 应从订阅中删除具有写入权限的外部帐户 3.0.0
要求 8 PCI DSS v3.2.1 8.3.1 PCI DSS 要求 8.3.1 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
要求 8 PCI DSS v3.2.1 8.3.1 PCI DSS 要求 8.3.1 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0

马来西亚 RMIT

若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
加密 RMiT 10.19 加密- 10.19 应启用 Azure Defender for Key Vault 1.0.3
加密 RMiT 10.19 加密- 10.19 应使用服务主体(而不是管理证书)来保护你的订阅 1.0.0
网络复原能力 RMiT 10.38 网络复原能力 - 10.38 允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 1.0.0
网络复原能力 RMiT 10.38 网络复原能力 - 10.38 允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 1.0.0
云服务 RMiT 10.51 云服务 - 10.51 审核未配置灾难恢复的虚拟机 1.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应从订阅中删除弃用的帐户 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应从订阅中删除拥有读取权限的外部帐户 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应从订阅中删除具有写入权限的外部帐户 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 RMiT 10.54 访问控制 - 10.54 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制 RMiT 10.58 访问控制 - 10.58 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
访问控制 RMiT 10.58 访问控制 - 10.58 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 RMiT 10.58 访问控制 - 10.58 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
访问控制 RMiT 10.61 访问控制 - 10.61 应从订阅中删除弃用的帐户 3.0.0
访问控制 RMiT 10.61 访问控制 - 10.61 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
访问控制 RMiT 10.61 访问控制 - 10.61 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
访问控制 RMiT 10.61 访问控制 - 10.61 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 活动日志至少应保留一年 1.0.0
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 1.0.0
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 Azure Monitor 应从所有区域收集活动日志 2.0.0
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 必须部署 Azure Monitor 解决方案“安全和审核” 1.0.0
数字服务的安全性 RMiT 10.66 数字服务的安全性 - 10.66 Azure 订阅应有用于活动日志的日志配置文件 1.0.0
安全运营中心 (SOC) RMiT 11.17 安全运营中心 (SOC) - 11.17 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
安全运营中心 (SOC) RMiT 11.17 安全运营中心 (SOC) - 11.17 应启用向订阅所有者发送高严重性警报的电子邮件通知 2.0.0
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 应启用高严重性警报的电子邮件通知 1.0.1
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 应启用高严重性警报的电子邮件通知 1.0.1
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
安全运营中心 (SOC) RMiT 11.18 安全运营中心 (SOC) - 11.18 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1
网络安全操作 RMiT 11.5 网络安全操作 - 11.5 应启用适用于应用服务的 Azure Defender 1.0.3
网络安全操作 RMiT 11.5 网络安全操作 - 11.5 应启用适用于服务器的 Azure Defender 1.0.3
网络安全操作 RMiT 11.5 网络安全操作 - 11.5 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
网络安全操作 RMiT 11.5 网络安全操作 - 11.5 应启用适用于存储的 Azure Defender 1.0.3
网络安全操作 RMiT 11.5 网络安全操作 - 11.5 应启用 Microsoft Defender for Containers 1.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 你的订阅应启用 Log Analytics 代理自动预配 1.0.1
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应启用适用于 Azure SQL 数据库服务器的 Azure Defender 1.0.2
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应启用适用于服务器的 Azure Defender 1.0.3
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应启用适用于计算机上的 SQL 服务器的 Azure Defender 1.0.2
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应启用高严重性警报的电子邮件通知 1.0.1
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 应启用 Microsoft Defender for Containers 1.0.0
网络安全控制措施 RMiT 附录 5.7 网络安全控制措施 - 附录 5.7 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 1.0.1

英国官方和英国 NHS

若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
标识和身份验证 10 标识和身份验证 应从订阅中删除弃用的帐户 3.0.0
标识和身份验证 10 标识和身份验证 应从订阅中删除拥有所有者权限的已弃用帐户 3.0.0
标识和身份验证 10 标识和身份验证 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
标识和身份验证 10 标识和身份验证 应从订阅中删除拥有读取权限的外部帐户 3.0.0
标识和身份验证 10 标识和身份验证 应从订阅中删除具有写入权限的外部帐户 3.0.0
标识和身份验证 10 标识和身份验证 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
标识和身份验证 10 标识和身份验证 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
标识和身份验证 10 标识和身份验证 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0
运营安全 5.3 保护监视 审核未配置灾难恢复的虚拟机 1.0.0
安全用户管理 9.1 在管理界面和支持渠道对用户进行身份验证 应从订阅中删除拥有所有者权限的外部帐户 3.0.0
安全用户管理 9.1 在管理界面和支持渠道对用户进行身份验证 应从订阅中删除拥有读取权限的外部帐户 3.0.0
安全用户管理 9.1 在管理界面和支持渠道对用户进行身份验证 应从订阅中删除具有写入权限的外部帐户 3.0.0
安全用户管理 9.1 在管理界面和支持渠道对用户进行身份验证 应对订阅中拥有写入权限的帐户启用 MFA 3.0.0
安全用户管理 9.1 在管理界面和支持渠道对用户进行身份验证 应在对订阅拥有所有者权限的帐户上启用 MFA 3.0.0
安全用户管理 9.1 在管理界面和支持渠道对用户进行身份验证 应在对订阅拥有读取权限的帐户上启用 MFA 3.0.0

后续步骤