Azure Policy 内置计划定义
此页是 Azure Policy 内置计划定义的索引。
每个内置项的名称会链接到 Azure Policy GitHub 存储库中的计划定义源。 这些内置项按元数据中的 category 属性进行分组。 若要转到特定类别,请使用 Ctrl-F 来使用浏览器的搜索功能。
Cosmos DB
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 启用 Azure Cosmos DB 吞吐量策略 | 启用对指定范围(管理组、订阅或资源组)中 Azure Cosmos DB 资源的吞吐量控制。 使用最大吞吐量作为参数。 使用此策略有助于通过资源提供程序强制实施吞吐量控制。 | 2 | 1.0.0 |
常规
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 允许使用情况成本资源 | 允许部署除 MCPP、M365 以外的资源。 | 2 | 1.0.0 |
托管标识
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]:托管标识联合凭据应为已批准的联合源的已批准类型 | 控制托管标识的联合凭据的使用。 此计划包含的策略包括完全阻止联合标识凭据、将使用限制为特定的联合提供程序类型,以及将联合身份验证重新授权限制为已批准的源。 | 3 | 1.0.0-preview |
监视
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:在虚拟机上配置 Azure Defender for SQL 代理 | 将虚拟机配置为自动安装 Azure Defender for SQL 代理,其中已安装 Azure Monitor 代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建一个资源组和 Log Analytics 工作区。 此策略仅适用于几个区域中的 VM。 | 2 | 1.0.0-preview |
| 将 Linux 计算机配置为运行 Azure Monitor 代理并将其关联到数据收集规则 | 通过部署 Azure Monitor 代理扩展并将计算机与指定的数据收集规则相关联,来监视和保护 Linux 虚拟机、虚拟机规模集和 Arc 计算机。 部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 4 | 3.1.0 |
| 配置 Windows 计算机以运行 Azure Monitor 代理并将其关联到数据收集规则 | 通过部署 Azure Monitor 代理扩展并将计算机与指定的数据收集规则相关联,来监视和保护 Windows 虚拟机、虚拟机规模集和 Arc 计算机。 部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 4 | 3.1.0 |
| 使用基于用户分配的托管标识身份验证部署 Linux Azure Monitor 代理,并与“数据收集规则”关联 | 通过使用用户分配的托管标识身份验证部署 Azure Monitor 代理扩展并与指定的数据收集规则相关联来监视 Linux 虚拟机和虚拟机规模集。 Azure Monitor 代理部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 5 | 2.2.0 |
| 使用用户分配的托管标识身份验证来部署 Windows Azure Monitor 代理,并与数据收集规则关联 | 通过使用用户分配的托管标识身份验证部署 Azure Monitor 代理扩展并与指定的数据收集规则相关联来监视 Windows 虚拟机和虚拟机规模集。 Azure Monitor 代理部署将在受支持区域中具有受支持的 OS 映像的计算机(或与提供的映像列表匹配的计算机)上进行。 | 5 | 2.2.0 |
| 为支持的资源启用到事件中心的审核类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用审核类别组部署诊断设置,以将所有受支持资源的日志路由到事件中心 | 33 | 1.0.0 |
| 为支持的资源启用到 Log Analytics 的审核类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用审核类别组部署诊断设置,以将所有受支持资源的日志路由到 Log Analytics。 | 33 | 1.0.0 |
| 为支持的资源启用到存储的审核类别组资源日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此计划使用审核类别组部署诊断设置,以将所有受支持资源的日志路由到存储。 | 33 | 1.0.0 |
| 使用 AMA 启用用于混合 VM 的 Azure Monitor | 使用 AMA 为混合虚拟机启用 Azure Monitor。 | 6 | 1.0.0 |
| 使用 Azure Monitor 代理(AMA)启用用于 VM 的 Azure Monitor | 使用 AMA 为虚拟机 (VM) 启用 Azure Monitor。 | 7 | 1.0.0 |
| 使用 Azure Monitor 代理(AMA)启用用于 VMSS 的 Azure Monitor | 使用 AMA 为虚拟机规模集 (VMSS) 启用 Azure Monitor。 | 7 | 1.0.0 |
| 旧版 - 启用用于虚拟机规模集的 Azure Monitor | 旧版 - 在指定范围(管理组、订阅或资源组)内启用用于虚拟机规模集的 Azure Monitor。 将 Log Analytics 工作区用作参数。 使用名为“使用 Azure Monitor 代理(AMA)启用用于 VMSS 的 Azure Monitor”的新计划。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | 6 | 1.0.2 |
| 旧版 - 启用用于 VM 的 Azure Monitor | 旧版 - 在指定范围(管理组、订阅或资源组)内为虚拟机 (VM) 启用 Azure Monitor。 将 Log Analytics 工作区用作参数。 使用名为“使用 Azure Monitor 代理(AMA)启用用于 VM 的 Azure Monitor”的新计划 | 10 | 2.0.1 |
网络
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 应为每个网络安全组配置和启用流日志 | 审核网络安全组以验证是否配置了流日志以及是否启用了流日志状态。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | 2 | 1.0.0 |
复原能力
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览]: 资源应为区域可复原 | 一些资源类型可以部署为区域冗余(例如 SQL 数据库),一些可以部署为区域对齐(例如虚拟机),而一些可以部署为区域对齐或区域冗余(例如虚拟机规模集)。 区域对齐不能保证复原能力,它是可构建弹性解决方案的基础(例如,三个虚拟机规模集区域与负载均衡器所在区域中的三个不同的区域对齐)。 有关详细信息,请参阅 https://docs.azure.cn/reliability/availability-zones-service-support。 | 34 | 1.10.0-preview |
SDN
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 审核公共网络访问权限 | 审核允许从公共 Internet 访问的 Azure 资源 | 36 | 4.1.0 |
| 评估所有受支持 Azure 资源的专用链接使用情况 | 合规资源至少具有一个已批准的专用终结点连接 | 30 | 1.1.0 |
安全中心
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| [预览版]:部署 Microsoft Defender for Endpoint 代理 | 在适用的映像上部署 Microsoft Defender for Endpoint 代理。 | 4 | 1.0.0-preview |
| 配置要在开放源代码关系数据库上启用的高级威胁防护 | 在非基本层开放源代码关系数据库上启用高级威胁防护,以检测异常活动,包括对数据库进行的不寻常的和可能有害的访问或攻击尝试。 请参阅 https://docs.azure.cn/defender-for-cloud/defender-for-databases-introduction。 | 5 | 1.2.0 |
| 配置 Azure Defender 以在 SQL Server 和 SQL 托管实例上启用 | 在 SQL Server 和 SQL 托管实例上启用 Azure Defender 以检测异常活动,此类活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | 3 | 3.0.0 |
| 配置 Microsoft Defender for Cloud 计划 | Microsoft Defender for Cloud 提供从开发到多云环境中的运行时的全面云原生保护。 使用策略计划配置要对所选范围启用的 Defender for Cloud 计划和扩展。 | 11 | 1.0.0 |
| 配置要启用的 Microsoft Defender for Databases | 配置 Microsoft Defender for Databases 以保护 Azure SQL 数据库、托管实例、开放源代码关系数据库和 Cosmos DB。 | 4 | 1.0.0 |
| 配置 SQL VM 和已启用 Arc 的 SQL Server,以安装 Microsoft Defender for SQL 和具有 LA 工作区的 AMA | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | 9 | 1.2.1 |
| 配置 SQL VM 和已启用 Arc 的 SQL Server,以安装 Microsoft Defender for SQL 和具有用户定义的 LA 工作区的 AMA | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建一个资源组和一个数据收集规则。 | 8 | 1.1.1 |
| Microsoft 云安全基准 | Microsoft 云安全基准计划代表了实施 Microsoft 云安全基准中定义的安全建议的策略和控制,请参阅https://aka.ms/azsecbm。 这也可用作 Microsoft Defender for Cloud 默认策略计划。 可以直接分配此计划,也可以在 Microsoft Defender for Cloud 内管理其策略和合规性结果。 | 242 | 57.35.0 |
SQL
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| Azure SQL 数据库应该设置纯 Microsoft Entra 身份验证 | Azure SQL 数据库需要纯 Microsoft Entra 身份验证,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
| Azure SQL 托管实例应该设置纯 Microsoft Entra 身份验证 | Azure SQL 托管实例需要纯 Microsoft Entra 身份验证,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
Synapse
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 配置 Synapse 工作区以强制使用纯 Microsoft Entra 标识进行身份验证 | 要求为 Synapse 工作区使用纯 Microsoft Entra 身份验证并进行相应的配置,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
| Synapse 工作区应该设置纯 Microsoft Entra 身份验证 | 要求为 Synapse 工作区使用纯 Microsoft Entra 身份验证,禁用本地身份验证方法。 这样就可以仅通过 Microsoft Entra 标识进行访问,通过新式身份验证增强功能(包括 MFA、SSO 以及使用托管标识进行的无机密编程访问)来增强安全性。 | 2 | 1.0.0 |
标记
| 名称 | 说明 | 策略 | 版本 |
|---|---|---|---|
| 确保资源没有特定标记。 | 拒绝创建包含给定标记的资源。 不要应用到资源组。 | 1 | 2.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。