適用於 Azure 虛擬網路的 Azure 原則內建定義

此頁面是適用於 Azure 虛擬網路的 Azure 原則內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義

連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結查看 Azure 原則 GitHub 存放庫上的來源。

Azure 虛擬網路

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
必須將自訂的 IPsec/IKE 原則套用至所有 Azure 虛擬網路閘道連線 此原則可確保所有 Azure 虛擬網路閘道連線都使用自訂的網際網路通訊協定安全性 (Ipsec)/網際網路金鑰交換 (IKE) 原則。 支援的演算法和金鑰強度 - https://aka.ms/AA62kb0 Audit, Disabled 1.0.0
[預覽 ] :所有網際網路流量都應透過您部署的 Azure 防火牆路由傳送 Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 AuditIfNotExists, Disabled 3.0.0-preview
App Service 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 App Service。 AuditIfNotExists, Disabled 1.0.0
Azure VPN 閘道不應使用「基本」SKU 此原則可確保 VPN 閘道不使用「基本」SKU。 Audit, Disabled 1.0.0
[預覽 ] : Container Registry 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Container Registry。 Audit, Disabled 1.0.0-preview
Cosmos DB 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 Audit, Disabled 1.0.0
使用目標網路安全性群組部署流量記錄資源 設定特定網路安全性群組的流量記錄。 其可記錄流過網路安全性群組的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 deployIfNotExists 1.0.0
於虛擬網路建立時部署網路監看員 此原則會在具有虛擬網路的區域中建立網路監看員資源。 您必須確定名為 networkWatcherRG 的資源群組是否存在,其將用來部署網路監看員執行個體。 DeployIfNotExists 1.0.0
事件中樞應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的事件中樞。 AuditIfNotExists, Disabled 1.0.0
應針對每個網路安全性群組設定流程記錄 針對網路安全性群組進行審核,以確認是否已設定流量記錄。 啟用流量記錄可讓您記錄透過網路安全性群組流動之 IP 流量的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 Audit, Disabled 1.1.0
應針對每個網路安全性群組啟用流量記錄 針對流量記錄資源進行審核,以確認是否已啟用流量記錄狀態。 啟用流量記錄可讓您記錄透過網路安全性群組流動之 IP 流量的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 Audit, Disabled 1.0.0
閘道子網路不應設定網路安全性群組 若閘道子網路中設定了網路安全性群組,此原則將予以拒絕。 為閘道子網路指派網路安全性群組,將導致閘道停止運作。 deny 1.0.0
Key Vault 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Key Vault。 Audit, Disabled 1.0.0
網路介面應停用 IP 轉送 此原則會拒絕已啟用 IP 轉送的網路介面。 IP 轉送的設定會使 Azure 停止檢查網路介面的來源和目的地。 這應該由網路安全性小組來檢閱。 deny 1.0.0
網路介面不應設定公用 IP 此原則會拒絕設定了任何公用 IP 的網路介面。 公用 IP 位址可讓網際網路資源對 Azure 資源進行輸入通訊,以及讓 Azure 資源對網際網路進行輸出通訊。 這應該由網路安全性小組來檢閱。 deny 1.0.0
應啟用網路監看員 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 網路監看員提供的網路診斷和視覺效果工具,可幫助您了解、診斷及洞悉您在 Azure 中的網路。 AuditIfNotExists, Disabled 2.0.0
應禁止從網際網路存取 RDP 此原則會稽核任何允許從網際網路存取 RDP 的網路安全性規則 Audit, Disabled 2.0.0
服務匯流排應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的服務匯流排。 AuditIfNotExists, Disabled 1.0.0
SQL Server 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 AuditIfNotExists, Disabled 1.0.0
應禁止從網際網路存取 SSH 此原則會稽核任何允許從網際網路存取 SSH 的網路安全性規則 Audit, Disabled 2.0.0
儲存體帳戶應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的儲存體帳戶。 Audit, Disabled 1.0.0
虛擬機器應該連線到已核准的虛擬網路 此原則會稽核任何連線到未核准之虛擬網路的虛擬機器。 Audit, Deny, Disabled 1.0.0
虛擬網路應受 Azure DDoS 保護標準保護 使用 Azure DDoS 保護標準來保護您的虛擬網路免于體積型和通訊協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs 修改、Audit、Disabled 1.0.0
虛擬網路應該使用指定的虛擬網路閘道 此原則會稽核任何虛擬網路是否預設路由未指向指定的虛擬網路閘道。 AuditIfNotExists, Disabled 1.0.0
應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 Audit, Deny, Disabled 1.0.1
應針對 Azure Front Door 服務服務啟用 Web 應用程式防火牆 (WAF) 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 Audit, Deny, Disabled 1.0.1
Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 Audit, Deny, Disabled 1.0.0
Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 Audit, Deny, Disabled 1.0.0

Tags

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
將標籤新增至資源群組 當建立或更新了任何遺失指定標籤的資源群組時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如果標籤以不同的值存在,則不會遭到變更。 修改 1.0.0
將標籤新增至資源 當建立或更新了任何遺失指定標籤的資源時,便新增此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 資源群組上的標記不會修改。 修改 1.0.0
將標籤新增至訂用帳戶 透過補救工作,將指定的標籤和值新增至訂用帳戶。 如果標籤以不同的值存在,則不會遭到變更。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation 修改 1.0.0
新增或置換資源群組上的標籤 當建立或更新了任何資源群組時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 修改 1.0.0
新增或置換資源上的標籤 當建立或更新了任何資源時,便新增或取代此標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 資源群組上的標記不會修改。 修改 1.0.0
新增或取代訂用帳戶上的標籤 透過補救工作,在訂用帳戶上新增或取代指定的標籤和值。 您可以藉由觸發補救工作來補救現有的資源群組。 如需原則補救的詳細資訊,請參閱 https://aka.ms/azurepolicyremediation 修改 1.0.0
附加來自資源群組的標籤及其值 當建立或更新了任何遺失指定標籤的資源時,便附加來自資源群組的這個標籤及其值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 附加 1.0.0
將標籤及其值附加至資源群組 當建立或更新了任何遺失指定標籤的資源群組時,便附加此標籤和值。 在這些資源群組有所變更之前,不會修改在套用此原則之前所建立的資源群組標籤。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 附加 1.0.0
將標籤及其值附加至資源 當建立或更新了任何遺失指定標籤的資源時,便附加此標籤和值。 在這些資源有所變更之前,不會修改在套用此原則之前所建立的資源標籤。 不會套用至資源群組。 有新的「修改」效果原則可支援補救現有資源上的標籤 (請參閱 https://aka.ms/modifydoc)。 附加 1.0.1
從資源群組繼承標籤 當建立或更新了任何資源時,新增或取代來自父代資源群組中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 修改 1.0.0
從資源群組繼承標籤 (若遺漏) 當建立或更新了任何遺失指定標籤的資源時,便新增來自父代資源群組的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 修改 1.0.0
從訂用帳戶繼承標籤 當建立或更新了任何資源時,新增或取代包含訂用帳戶中的指定標籤和值。 您可以藉由觸發補救工作來補救現有的資源。 修改 1.0.0
若缺少標籤,則從訂用帳戶予以繼承 當建立或更新了任何遺失指定標籤的資源時,便新增來自包含訂用帳戶的這個標籤及其值。 您可以藉由觸發補救工作來補救現有的資源。 如果標籤以不同的值存在,則不會遭到變更。 修改 1.0.0
資源群組必須有標籤及其值 強制資源群組上必要的標籤及其值。 deny 1.0.0
資源必須有標籤及其值 強制必要的標籤和其值。 不會套用至資源群組。 deny 1.0.1
資源群組必須有標籤 施行資源群組必須具備標籤。 deny 1.0.0
資源必須有標籤 強制存在標籤。 不會套用至資源群組。 deny 1.0.1

一般

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
允許的位置 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用「全球」區域的資源。 deny 1.0.0
允許資源群組的位置 此原則可讓您限制貴組織可在其中建立資源群組的位置。 它可用來強制執行地理合規性需求。 deny 1.0.0
允許的資源類型 此原則可讓您指定組織所能部署的資源類型。 只有支援「標籤」和「位置」的資源類型會受此原則影響。 若要限制所有資源,請複製此原則,並將 [模式] 變更為 [全部]。 deny 1.0.0
稽核資源位置是否符合資源群組位置 稽核資源位置是否符合其資源群組位置 稽核 2.0.0
稽核自訂 RBAC 規則的使用方式 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 Audit, Disabled 1.0.0
自訂訂用帳戶擁有者角色不應存在 此原則可確保不存在自訂訂用帳戶擁有者角色。 Audit, Disabled 2.0.0
不允許的資源類型 限制可以在您的環境中部署的資源類型。 限制資源類型可降低環境的複雜度和攻擊面,同時也有助於管理成本。 合規性結果只會顯示為不符合規範的資源。 Audit, Deny, Disabled 2.0.0

後續步驟