通过

Azure 资源管理器的 Azure Policy 内置定义

此页是 Azure 资源管理器的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Azure 资源管理器

名称
(Azure 门户)		 说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 2.0.0
应为订阅提供安全联系人电子邮件地址 输入电子邮件地址,以便在 Azure 安全中心检测到资源泄露时接收通知 AuditIfNotExists、Disabled 1.0.0
应为订阅提供安全联系人电话号码 输入电话号码,以便在 Azure 安全中心检测到资源泄露情况时收到通知 AuditIfNotExists、Disabled 1.0.0
活动日志至少应保留一年 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 AuditIfNotExists、Disabled 1.0.0
将标记添加到资源组 创建或更新任何缺少此标记的资源组时添加指定的标记和值。 可以通过触发修正任务来修正现有资源组。 如果存在具有不同值的标记,则不会更改该资源组。 modify 1.0.0
在资源组中添加或替换标记 创建或更新任何资源组时添加或替换指定的标记和值。 可以通过触发修正任务来修正现有资源组。 modify 1.0.0
应在 Azure SQL 数据库服务器上启用高级数据安全 高级数据安全提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.1
应在虚拟机上启用高级威胁防护 高级威胁防护可为虚拟机工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.2
允许的资源组位置 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 deny 1.0.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
特定策略操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定策略操作。 AuditIfNotExists、Disabled 2.0.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
将标记及其值追加到资源组 创建或更新任何缺少此标记的资源组时追加指定的标记和值。 在更改这些资源组之前,请不要修改应用此策略之前创建的资源组的标记。 新的“modify”效果策略已可供使用,这些策略支持对现有资源中的标记进行修正(请参阅 https://aka.ms/modifydoc)。 append 1.0.0
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0
应该对订阅启用 Log Analytics 监视代理的自动预配 启用 Log Analytics 监视代理的自动预配,以便收集安全数据 AuditIfNotExists、Disabled 1.0.0
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 AuditIfNotExists、Disabled 1.0.0
Azure Monitor 应从所有区域收集活动日志 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 AuditIfNotExists、Disabled 1.0.0
必须部署 Azure Monitor 解决方案“安全和审核” 此策略可确保“安全和审核”已部署。 AuditIfNotExists、Disabled 1.0.0
Azure 订阅应有用于活动日志的日志配置文件 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 AuditIfNotExists、Disabled 1.0.0
应从订阅中删除弃用的帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 2.0.0
应从订阅中删除拥有所有者权限的已弃用帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 2.0.0
应启用高严重性警报的电子邮件通知 允许向安全联系人发送电子邮件安全警报,使他们能够收到来自 Azure 的安全警报电子邮件。 这可以确保适当的人员能够意识到任何潜在安全问题,并降低风险 AuditIfNotExists、Disabled 1.0.0
应启用向订阅所有者发送高严重性警报的电子邮件通知 允许向订阅所有者发送电子邮件安全警报,使他们能够收到来自 Azure 的安全警报电子邮件。 这可以确保他们意识到任何潜在安全问题,并及时降低风险 AuditIfNotExists、Disabled 1.0.0
在订阅中启用 Azure 安全中心 识别不受 Azure 安全中心 (ASC) 监视的现有订阅。 不受 ASC 监视的订阅将注册到免费定价层。 已由 ASC 监视的订阅(免费或标准层)被视为合规。 若要注册新建的订阅,请打开合规性选项卡,选择相关的不合规分配,并创建修正任务。 需要使用安全中心监视一个或多个新订阅时,请重复此步骤。 deployIfNotExists 1.0.0
允许安全中心在你的订阅上自动预配包含自定义工作区的 Log Analytics 代理。 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用自定义工作区来监视和收集安全数据。 DeployIfNotExists、Disabled 1.0.0
允许安全中心在你的订阅上自动预配包含默认工作区的 Log Analytics 代理。 允许安全中心在你的订阅上自动预配 Log Analytics 代理,以使用 ASC 默认工作区来监视和收集安全数据。 DeployIfNotExists、Disabled 1.0.0
应从订阅中删除拥有所有者权限的外部帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 2.0.0
应从订阅中删除拥有读取权限的外部帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 2.0.0
应从订阅中删除具有写入权限的外部帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 2.0.0
应对订阅中拥有写入权限的帐户启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 2.0.0
应在对订阅拥有所有者权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 2.0.0
应在对订阅拥有读取权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 2.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 auditIfNotExists 1.0.0
需要资源组上的标记及其值 强制要求资源组中存在所需的标记及其值。 deny 1.0.0
需要资源组上的标记 强制要求资源组中存在某个标记。 deny 1.0.0
应使用服务主体(而不是管理证书)来保护你的订阅 通过管理证书,任何使用它们进行身份验证的人员都可管理与它们关联的订阅。 为了更安全地管理订阅,建议将服务主体和资源管理器结合使用来限制证书泄露所造成的影响。 AuditIfNotExists、Disabled 1.0.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 2.0.0

后续步骤