Azure Monitor 的 Azure Policy 内置定义
此页是 Azure Monitor 的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure Monitor
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定管理操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定管理操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特定策略操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定策略操作。 | AuditIfNotExists、Disabled | 3.0.0 |
| 特定安全操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定安全操作。 | AuditIfNotExists、Disabled | 1.0.0 |
| Application Insights 组件应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善 Application Insights 的安全性。 只有已连接到专用链接的网络才能引入和查询此组件的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-application-insights。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Application Insights 组件应阻止并非基于 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 拒绝、审核、禁用 | 1.0.0 |
| 启用专用链接的 Application Insights 组件应当使用适用于探查器和调试程序的“自带存储”帐户。 | 若要支持专用链接和客户管理的密钥策略,请创建你自己的适用于探查器和调试程序的存储帐户。 | 拒绝、审核、禁用 | 1.0.0 |
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| Azure 应用程序网关应启用资源日志 | 为 Azure 应用程序网关(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door 应启用资源日志 | 为 Azure Front Door(以及 WAF)启用资源日志,并流式传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists、Disabled | 1.0.0 |
| 针对 Log Analytics 工作区的 Azure 日志搜索警报应使用客户管理的密钥 | 通过使用存储帐户来存储客户为所查询的 Log Analytics 工作区提供的查询文本,确保 Azure 日志搜索警报实现客户管理的密钥。 有关详细信息,请访问 https://docs.azure.cn/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 |
| 应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 此选项在区域支持时会默认启用,详见 /azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 | 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 利用 Azure Monitor 中客户管理的密钥,可以更好地控制对数据的访问,详见 /azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应将 Application Insights 的 Azure Monitor 日志链接到 Log Analytics 工作区 | 将 Application Insights 组件链接到 Log Analytics 工作区以进行日志加密。 为了满足法规合规性并更好地控制对 Azure Monitor 的数据访问,通常需要使用客户管理的密钥。 将组件链接到一个通过客户管理的密钥启用的 Log Analytics 工作区,可确保 Application Insights 日志满足此符合性要求,详见 /azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Monitor 专用链接范围应阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor 专用链接范围应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Monitor 应从所有区域收集活动日志 | 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 | AuditIfNotExists、Disabled | 2.0.0 |
| 必须部署 Azure Monitor 解决方案“安全和审核” | 此策略可确保“安全和审核”已部署。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 订阅应有用于活动日志的日志配置文件 | 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure Application Insights 组件,以禁用公用网络对日志引入和查询的访问权限 | 禁用组件对日志引入和查询的公用网络访问权限,以提高安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 | 修改,已禁用 | 1.1.0 |
| 配置 Azure Log Analytics 工作区,以禁用公用网络对日志引入和查询的访问权限 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 | 修改,已禁用 | 1.1.0 |
| 配置 Azure Monitor 专用链接范围,以阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 | 修改,已禁用 | 1.0.0 |
| 配置 Azure Monitor 专用链接范围以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到 Azure Monitor 专用链接范围。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure Monitor 专用链接范围 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 6.5.1 |
| 将 Linux 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.4.1 |
| 配置 Linux 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 3.8.0 |
| 将 Linux 虚拟机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.4.1 |
| 配置 Linux 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 3.8.0 |
| 将 Windows 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.5.1 |
| 将 Windows 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.3.1 |
| 配置 Windows 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.5.0 |
| 将 Windows 虚拟机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.3.1 |
| 配置 Windows 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 | 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://docs.azure.cn/azure-monitor/agents/agents-overview。 | DeployIfNotExists、Disabled | 1.5.0 |
| 应为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 部署 - 将 Dependency Agent 配置为在 Windows 虚拟机规模集上启用 | 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机规模集部署该代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 3.2.0 |
| 部署 - 将 Dependency Agent 配置为在 Windows 虚拟机上启用 | 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机部署该代理。 | DeployIfNotExists、Disabled | 3.2.0 |
| 部署 - 配置 Log Analytics 扩展,以在 Windows 虚拟机规模集上启用 | 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机规模集部署 Log Analytics 扩展。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 3.1.0 |
| 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 | 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 3.1.0 |
| 为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 5.1.0 |
| 使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | DeployIfNotExists、Disabled | 3.2.0 |
| 为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 | deployIfNotExists | 5.1.0 |
| 使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent。 | DeployIfNotExists、Disabled | 3.2.0 |
| 使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机规模集中启用的 Dependency Agent | 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机规模集部署 Dependency Agent。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 1.3.0 |
| 使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机中启用的 Dependency Agen | 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机部署 Dependency Agent。 | DeployIfNotExists、Disabled | 1.3.0 |
| 将 Batch 帐户的诊断设置部署到事件中心 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.1.0 |
| 将 Data Lake Analytics 的诊断设置部署到事件中心 | 在创建或更新缺少 Data Lake Analytics 的诊断设置的任何 Data Lake Analytics 时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Data Lake Analytics 的诊断设置部署到 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Data Lake Analytics 时,部署 Data Lake Analytics 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将事件中心的诊断设置部署到事件中心 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.1.0 |
| 将事件中心的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
| 将逻辑应用的诊断设置部署到事件中心 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将逻辑应用的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | deployIfNotExists | 2.0.1 |
| 将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将搜索服务的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将服务总线的诊断设置部署到事件中心 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将服务总线的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.1.0 |
| 将流分析的诊断设置部署到事件中心 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将流分析的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Linux 虚拟机规模集部署 Log Analytics 扩展。 请参阅下面的弃用通知 | 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux 虚拟机规模集部署 Log Analytics 扩展。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 弃用通知:Log Analytics 代理在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | deployIfNotExists | 3.0.0 |
| 为 Linux VM 部署 Log Analytics 扩展 请参阅下面的弃用通知 | 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux VM 部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | deployIfNotExists | 3.0.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1 |
| Log Analytics 工作区应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 更多信息请访问 https://aka.ms/AzMonPrivateLink#configure-log-analytics。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Log Analytics 工作区应阻止基于非 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 拒绝、审核、禁用 | 1.0.0 |
| 应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 | 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的详细信息,请参阅 /azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
| 不应在已启用 Azure Arc 的 Windows 服务器上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略将始终拒绝在已启用 Azure Arc 的 Windows 服务器上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机规模集上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机规模集上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 应在虚拟机规模集上安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
| 虚拟机应连接到指定的工作区 | 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 1.1.0 |
| 虚拟机应安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。