Azure 中的治理、安全性和合規性

您可以使用 Azure 原則 和 適用於雲端的 Microsoft Defender 等工具和服務來建立公司原則並規劃治理策略。 這些工具和服務會強制執行並自動化組織的治理決策。 在您開始治理規劃之前， 請先使用治理基準檢驗工具來 找出組織雲端治理方法的潛在差距。 如需如何開發治理程式的詳細資訊，請參閱 治理方法。

Azure 原則

Azure 原則 可協助您建立、指派和管理原則。 這些原則會對您的資源強制執行規則，讓這些資源符合公司標準和服務等級協議的規範。 Azure 原則 掃描您的資源，以識別不符合公司原則的資源。 例如，您可以有一個原則，只允許特定虛擬機 （VM） 大小在您的環境中執行。 當您實作此原則時，Azure 原則 評估環境中現有的 VM 和任何已部署的新 VM。 原則評估會產生用於監視和報告的合規性事件。

使用一般原則來：

• 強制執行資源和資源群組的標記。
• 限制已部署資源的區域。
• 限制特定資源的昂貴 SKU。
• 稽核使用 Azure 受控磁碟等重要選用功能。

動作

將內建原則指派給管理群組、訂用帳戶或資源群組。

套用原則

若要將原則套用至資源群組：

1. 移至 Azure 原則。
2. 選取 [ 指派原則]。

深入了解

若要深入了解，請參閱：

• Azure 原則
• 雲端採用架構：定義公司原則
• Microsoft Cloud for Sovereignty 原則組合

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 在治理策略中扮演重要的部分。 它可協助您掌握安全性，因為它：

• 提供整個工作負載安全性的統一檢視
• 收集、搜尋和分析來自各種來源的安全性數據，其中包括防火牆和其他合作夥伴解決方案
• 提供可採取動作的安全性建議，以修正問題，再加以惡意探索
• 在混合式雲端工作負載中套用安全策略，以確保符合安全性標準

許多安全性功能 (例如安全性原則與建議) 都可免費使用。 您可以在適用於雲端的 Defender 標準層下，取得一些更進階的功能，例如 Just-In-Time VM 存取與混合式工作負載支援。 藉由控制 Azure VM 上管理連接埠的存取，Just-In-Time VM 存取可減少網路受攻擊面。

提示

預設會在每個訂用帳戶中啟用 適用於雲端的 Defender。 建議您從虛擬機啟用數據收集，以允許 適用於雲端的 Defender 安裝其代理程式並開始收集數據。

若要探索 適用於雲端的 Defender，請移至 Azure 入口網站。

深入了解

如需詳細資訊，請參閱以下資源：

• 適用於雲端的 Microsoft Defender
• Just-In-Time VM 存取
• 適用於雲端的 Defender 定價層
• 雲端採用架構：安全性基準專業領域