Azure 资源管理器的 Azure Policy 法规遵从性控制
为与不同符合性标准相关的“符合性域”和“安全控件”提供 Azure 创建和管理的计划定义(称为“内置项”)。 此页列出 Azure 资源管理器的“符合域”和“安全控件” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
Azure 安全基准
Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
标识管理 | IM-2 | 安全自动地管理应用程序标识 | 应使用服务主体(而不是管理证书)来保护你的订阅 | 1.0.0 |
标识管理 | IM-4 | 对所有基于 Azure Active Directory 的访问使用强身份验证控制 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
标识管理 | IM-4 | 对所有基于 Azure Active Directory 的访问使用强身份验证控制 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
标识管理 | IM-4 | 对所有基于 Azure Active Directory 的访问使用强身份验证控制 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
特权访问 | PA-1 | 保护和限制高特权用户 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
特权访问 | PA-1 | 保护和限制高特权用户 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
特权访问 | PA-1 | 保护和限制高特权用户 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
特权访问 | PA-1 | 保护和限制高特权用户 | 应为订阅分配了多个所有者 | 3.0.0 |
特权访问 | PA-3 | 定期评审和协调用户访问权限 | 应从订阅中删除弃用的帐户 | 3.0.0 |
特权访问 | PA-3 | 定期评审和协调用户访问权限 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
特权访问 | PA-3 | 定期评审和协调用户访问权限 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
特权访问 | PA-3 | 定期评审和协调用户访问权限 | 应从订阅中删除拥有读取权限的外部帐户 | 3.0.0 |
特权访问 | PA-3 | 定期评审和协调用户访问权限 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
日志记录和威胁检测 | LT-1 | 为 Azure 资源启用威胁检测 | 应启用 Azure Defender for DNS | 1.0.0-preview |
日志记录和威胁检测 | LT-1 | 为 Azure 资源启用威胁检测 | 应启用 Azure Defender for Resource Manager | 1.0.0-preview |
日志记录和威胁检测 | LT-1 | 为 Azure 资源启用威胁检测 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
日志记录和威胁检测 | LT-2 | 为 Azure 标识和访问管理启用威胁检测 | 应启用 Azure Defender for DNS | 1.0.0-preview |
日志记录和威胁检测 | LT-2 | 为 Azure 标识和访问管理启用威胁检测 | 应启用 Azure Defender for Resource Manager | 1.0.0-preview |
日志记录和威胁检测 | LT-2 | 为 Azure 标识和访问管理启用威胁检测 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
日志记录和威胁检测 | LT-5 | 集中执行安全日志管理和分析 | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
事件响应 | IR-2 | 准备 - 设置事件通知 | 应启用高严重性警报的电子邮件通知 | 1.0.1 |
事件响应 | IR-2 | 准备 - 设置事件通知 | 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 2.0.0 |
事件响应 | IR-2 | 准备 - 设置事件通知 | 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 1.0.1 |
事件响应 | IR-3 | 检测和分析 - 根据高质量警报创建事件 | 应启用 Azure Defender for DNS | 1.0.0-preview |
事件响应 | IR-3 | 检测和分析 - 根据高质量警报创建事件 | 应启用 Azure Defender for Resource Manager | 1.0.0-preview |
事件响应 | IR-3 | 检测和分析 - 根据高质量警报创建事件 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
事件响应 | IR-5 | 检测和分析 - 设置事件优先级 | 应启用 Azure Defender for DNS | 1.0.0-preview |
事件响应 | IR-5 | 检测和分析 - 设置事件优先级 | 应启用 Azure Defender for Resource Manager | 1.0.0-preview |
事件响应 | IR-5 | 检测和分析 - 设置事件优先级 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
终结点安全性 | ES-1 | 使用终结点检测和响应 (EDR) | 应启用适用于服务器的 Azure Defender | 1.0.3 |
Azure 安全基准 v1
Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 安全基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
日志记录和监视 | 2.2 | 配置安全日志集中管理 | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
日志记录和监视 | 2.2 | 配置安全日志集中管理 | Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 1.0.0 |
日志记录和监视 | 2.2 | 配置安全日志集中管理 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
日志记录和监视 | 2.4 | 从操作系统收集安全日志 | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
标识和访问控制 | 3.1 | 维护管理帐户的清单 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
标识和访问控制 | 3.1 | 维护管理帐户的清单 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
标识和访问控制 | 3.1 | 维护管理帐户的清单 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
标识和访问控制 | 3.1 | 维护管理帐户的清单 | 应为订阅分配了多个所有者 | 3.0.0 |
标识和访问控制 | 3.3 | 使用专用管理帐户 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
标识和访问控制 | 3.3 | 使用专用管理帐户 | 应为订阅分配了多个所有者 | 3.0.0 |
标识和访问控制 | 3.5 | 对所有基于 Azure Active Directory 的访问使用多重身份验证 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
标识和访问控制 | 3.5 | 对所有基于 Azure Active Directory 的访问使用多重身份验证 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
标识和访问控制 | 3.5 | 对所有基于 Azure Active Directory 的访问使用多重身份验证 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
标识和访问控制 | 3.10 | 定期评审和协调用户访问权限 | 应从订阅中删除弃用的帐户 | 3.0.0 |
标识和访问控制 | 3.10 | 定期评审和协调用户访问权限 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
标识和访问控制 | 3.10 | 定期评审和协调用户访问权限 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
标识和访问控制 | 3.10 | 定期评审和协调用户访问权限 | 应从订阅中删除拥有读取权限的外部帐户 | 3.0.0 |
标识和访问控制 | 3.10 | 定期评审和协调用户访问权限 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
数据保护 | 4.9 | 记录对关键 Azure 资源的更改并发出警报 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
事件响应 | 10.4 | 提供安全事件联系人详细信息并针对安全事件配置警报通知 | 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 1.0.1 |
CIS Microsoft 基础基准检验 1.1.0
有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
标识和访问管理 | 1.1 | 确保为所有特权用户启用多重身份验证 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
标识和访问管理 | 1.1 | 确保为所有特权用户启用多重身份验证 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
标识和访问管理 | 1.2 | 确保为所有非特权用户启用多重身份验证 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
标识和访问管理 | 1.3 | 确保没有任何来宾用户 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
标识和访问管理 | 1.3 | 确保没有任何来宾用户 | 应从订阅中删除拥有读取权限的外部帐户 | 3.0.0 |
标识和访问管理 | 1.3 | 确保没有任何来宾用户 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
安全中心 | 2.1 | 确保已选择标准定价层 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
安全中心 | 2.2 | 确保“监视代理的自动预配”设置为“打开” | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
安全中心 | 2.16 | 确保已设置“安全联系人电子邮件” | 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 1.0.1 |
安全中心 | 2.18 | 确保将“发送高严重性警报的电子邮件通知”设置为“打开” | 应启用高严重性警报的电子邮件通知 | 1.0.1 |
安全中心 | 2.19 | 确保将“同时将电子邮件发送给订阅所有者”设置为“打开” | 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 2.0.0 |
日志记录和监视 | 5.1.1 | 确保日志配置文件存在 | Azure 订阅应有用于活动日志的日志配置文件 | 1.0.0 |
日志记录和监视 | 5.1.2 | 确保将“活动日志保留期”设置为 365 天或更长时间 | 活动日志至少应保留一年 | 1.0.0 |
日志记录和监视 | 5.1.3 | 确保审核配置文件捕获所有活动 | Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 1.0.0 |
日志记录和监视 | 5.1.4 | 确保日志配置文件捕获所有区域(包括全球)的活动日志 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
日志记录和监视 | 5.2.1 | 确保存在“创建策略分配”的活动日志警报 | 特定策略操作应有活动日志警报 | 3.0.0 |
日志记录和监视 | 5.2.2 | 确保存在“创建或更新网络安全组”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.3 | 确保存在“删除网络安全组”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.4 | 确保存在“创建或更新网络安全组规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.5 | 确保存在“删除网络安全组规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.6 | 确保存在“创建或更新安全解决方案”的活动日志警报 | 特定安全操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.7 | 确保存在“删除安全解决方案”的活动日志警报 | 特定安全操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.8 | 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.8 | 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.9 | 确保存在“更新安全策略”的活动日志警报 | 特定安全操作应有活动日志警报 | 1.0.0 |
CIS Azure 基础基准检验 1.3.0
有关此符合性标准的详细信息,请参阅 CIS Azure 基础基准检验。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
标识和访问管理 | 1.1 | 确保为所有特权用户启用多重身份验证 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
标识和访问管理 | 1.1 | 确保为所有特权用户启用多重身份验证 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
标识和访问管理 | 1.2 | 确保为所有非特权用户启用多重身份验证 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
标识和访问管理 | 1.3 | 确保每月对来宾用户进行审核 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
标识和访问管理 | 1.3 | 确保每月对来宾用户进行审核 | 应从订阅中删除拥有读取权限的外部帐户 | 3.0.0 |
标识和访问管理 | 1.3 | 确保每月对来宾用户进行审核 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
安全中心 | 2.1 | 确保已为服务器将 Azure Defender 设置为“启用” | 应启用适用于服务器的 Azure Defender | 1.0.3 |
安全中心 | 2.11 | 确保“监视代理的自动预配”设置为“打开” | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
安全中心 | 2.13 | 确保已使用安全联系人电子邮件配置“其他电子邮件地址” | 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 1.0.1 |
安全中心 | 2.14 | 确保“在出现具有以下严重性的警报时发送通知”设置为“高” | 应启用高严重性警报的电子邮件通知 | 1.0.1 |
日志记录和监视 | 5.2.1 | 确保存在“创建策略分配”的活动日志警报 | 特定策略操作应有活动日志警报 | 3.0.0 |
日志记录和监视 | 5.2.2 | 确保删除策略分配具有活动日志警报 | 特定策略操作应有活动日志警报 | 3.0.0 |
日志记录和监视 | 5.2.3 | 确保存在“创建或更新网络安全组”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.4 | 确保存在“删除网络安全组”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.5 | 确保存在“创建或更新网络安全组规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.6 | 确保存在“删除网络安全组规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.7 | 确保存在“创建或更新安全解决方案”的活动日志警报 | 特定安全操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.8 | 确保存在“删除安全解决方案”的活动日志警报 | 特定安全操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.9 | 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
日志记录和监视 | 5.2.9 | 确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报 | 特定管理操作应有活动日志警报 | 1.0.0 |
CMMC 级别 3
有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应从订阅中删除弃用的帐户 | 3.0.0 |
访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应从订阅中删除拥有读取权限的外部帐户 | 3.0.0 |
访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
访问控制 | AC.2.007 | 对特定安全功能和特权帐户等内容采用最小特权原则。 | 应从订阅中删除拥有读取权限的外部帐户 | 3.0.0 |
访问控制 | AC.2.007 | 对特定安全功能和特权帐户等内容采用最小特权原则。 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 应为订阅分配了多个所有者 | 3.0.0 |
访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 特定管理操作应有活动日志警报 | 1.0.0 |
访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 特定安全操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定策略操作应有活动日志警报 | 3.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 特定安全操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 1.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | Azure 订阅应有用于活动日志的日志配置文件 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 活动日志至少应保留一年 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定管理操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定策略操作应有活动日志警报 | 3.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 特定安全操作应有活动日志警报 | 1.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | Azure 订阅应有用于活动日志的日志配置文件 | 1.0.0 |
审核和责任 | AU.3.049 | 保护审核信息和审核日志工具免遭未经授权的访问、修改和删除。 | 特定策略操作应有活动日志警报 | 3.0.0 |
安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 特定安全操作应有活动日志警报 | 1.0.0 |
安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 特定安全操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.061 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 特定策略操作应有活动日志警报 | 3.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定管理操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定管理操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定管理操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定管理操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定管理操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定策略操作应有活动日志警报 | 3.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | 特定安全操作应有活动日志警报 | 1.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | Azure 订阅应有用于活动日志的日志配置文件 | 1.0.0 |
识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
识别和身份验证 | IA.3.083 | 使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
识别和身份验证 | IA.3.083 | 使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
识别和身份验证 | IA.3.083 | 使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
事件响应 | IR.2.092 | 建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 | 应启用高严重性警报的电子邮件通知 | 1.0.1 |
事件响应 | IR.2.092 | 建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 | 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 2.0.0 |
事件响应 | IR.2.092 | 建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 | 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 1.0.1 |
事件响应 | IR.2.093 | 检测和报告事件。 | 特定安全操作应有活动日志警报 | 1.0.0 |
事件响应 | IR.2.093 | 检测和报告事件。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
事件响应 | IR.2.093 | 检测和报告事件。 | 应启用高严重性警报的电子邮件通知 | 1.0.1 |
恢复 | RE.2.137 | 定期执行和测试数据备份。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
恢复 | RE.3.139 | 根据组织规定定期执行完整、全面且可复原的数据备份。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
风险管理 | RM.3.144 | 定期执行风险评估,根据定义的风险类别、风险来源和风险度量标准确定风险并设定其优先级。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 应为订阅分配了多个所有者 | 3.0.0 |
系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定策略操作应有活动日志警报 | 3.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 特定安全操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应启用适用于服务器的 Azure Defender | 1.0.3 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Azure 订阅应有用于活动日志的日志配置文件 | 1.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 2.0.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 1.0.1 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 活动日志至少应保留一年 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定管理操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定策略操作应有活动日志警报 | 3.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 特定安全操作应有活动日志警报 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | Azure 订阅应有用于活动日志的日志配置文件 | 1.0.0 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 2.0.0 |
HIPAA HITRUST 9.2
有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
特权管理 | 1144.01c1System.4 - 01.c | 组织显式授予访问特定安全相关功能(部署在硬件、软件和固件中)和安全相关信息的权限。 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
特权管理 | 1145.01c2System.1 - 01.c | 已实现基于角色的访问控制,该控制能够将每位用户映射到一个或多个角色,并将每个角色映射到一个或多个系统功能。 | 应为订阅分配了多个所有者 | 3.0.0 |
特权管理 | 1146.01c2System.23 - 01.c | 组织促进可避免需要使用提升的权限和系统例程来运行的程序的开发和使用,从而免掉向用户授予权限的需求。 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
特权管理 | 1147.01c2System.456 - 01.c | 提升的权限被分配给一个与正常业务使用中不同的用户 ID,所有用户都在一个角色中访问特权服务,并且此类特权访问会被最小化。 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
特权管理 | 1151.01c3System.1 - 01.c | 组织仅限对预定义的部分用户授予访问信息系统上特权帐户的权限。 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
特权管理 | 1152.01c3System.2 - 01.c | 组织审核信息系统上特权功能的执行,并确保信息系统阻止非特权用户执行特权功能。 | 应为订阅分配了多个所有者 | 3.0.0 |
特权管理 | 1154.01c3System.4 - 01.c | 仅当组织评估了承包商具有遵守其安全要求的能力,且承包商同意遵守之后,才向承包商提供最低系统和物理访问权限。 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
外部连接用户身份验证 | 1116.01j1Organizational.145 - 01.j | 对于组织网络的所有外部连接,实现了强身份验证方法,例如多重身份验证、Radius 或 Kerberos(用于特权访问)和 CHAP(用于加密拨号方法的凭据)。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1117.01j1Organizational.23 - 01.j | 供应商和业务合作伙伴的远程访问(例如出于远程维护的目的)在未使用时处于禁用/停用状态。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1118.01j2Organizational.124 - 01.j | 组织实施加密(例如 VPN 解决方案或专用线路),并记录员工、承包商或第三方(例如供应商)对组织网络的远程访问。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1121.01j3Organizational.2 - 01.j | 远程管理会话已获得授权、加密,并且采用了增强的安全措施。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1173.01j1Organizational.6 - 01.j | 如果拨号连接未使用加密,则首席信息官 (CIO) 或其指定的代表会提供特定的书面授权。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1174.01j1Organizational.7 - 01.j | 组织通过对用户和设备进行身份验证来保护对包含敏感信息的系统的无线访问。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1176.01j2Organizational.5 - 01.j | 组织需要具有重新身份验证的回叫功能,以验证来自已获授权的位置的拨号连接。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1177.01j2Organizational.6 - 01.j | 分配给供应商的用户 ID 按照组织的访问评审策略进行评审(每年至少一次)。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
外部连接用户身份验证 | 1178.01j2Organizational.7 - 01.j | 节点身份验证(包括计算机证书等加密技术)充当远程用户组身份验证的替代方法,这些用户可通过该方法连接到安全的共享计算机设备。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
用户识别和身份验证 | 11109.01q1Organizational.57 - 01.q | 组织确保不会向其他用户颁发冗余的用户 ID,并确保所有用户在本地和远程访问信息系统时都会进行唯一标识和身份验证。 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
用户识别和身份验证 | 11110.01q1Organizational.6 - 01.q | 非组织用户(除组织用户以外的所有信息系统用户,例如患者、客户、承包商或外国公民)或代表非组织用户运行、且确定需要访问驻留在组织信息系统中的信息的进程,都会进行唯一标识和身份验证。 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
用户识别和身份验证 | 11111.01q2System.4 - 01.q | 使用基于 PKI 的身份验证时,信息系统会通过构造并验证指向已接受的信任定位点的证书路径来验证证书,包括检查证书状态信息、强制访问相应私钥、将标识映射到个人或组的相应帐户,以及实现吊销数据的本地缓存,从而在无法通过网络访问吊销信息时支持路径发现和验证。 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
用户识别和身份验证 | 11112.01q2Organizational.67 - 01.q | 信息系统使用防重播的身份验证机制(例如 nonce、一次性密码或时间戳)来保护特权帐户的网络访问;而对于基于硬件令牌的身份验证,则采用满足 NIST SP 800-63-2《电子认证指南》中所述的最低令牌要求的机制。 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
用户识别和身份验证 | 11208.01q1Organizational.8 - 01.q | 组织要求个人独有的电子签名不能由其他任何人重复使用,也不能重新分配给其他任何人。 | 应为订阅分配了多个所有者 | 3.0.0 |
监视系统使用情况 | 1120.09ab3System.9 - 09.ab | 至少每季度监视并审查一次与信息系统的未授权远程连接,如果发现未经授权的连接,则将采取相应措施。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
监视系统使用情况 | 1212.09ab1System.1 - 09.ab | 满足与监视授权访问和未授权访问尝试有关的所有适用法律要求。 | Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 1.0.0 |
监视系统使用情况 | 1213.09ab2System.128 - 09.ab | 整个组织环境中部署的自动化系统用于监视关键事件和异常活动,以及分析系统日志并定期审查其结果。 | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
监视系统使用情况 | 1214.09ab2System.3456 - 09.ab | 监视包括特权操作、授权访问或未授权访问尝试,这些尝试包括对停用帐户以及系统警报或故障的访问尝试。 | Azure Monitor 应从所有区域收集活动日志 | 2.0.0 |
监视系统使用情况 | 1219.09ab3System.10 - 09.ab | 信息系统能够根据可选标准自动处理所关注事件的审核记录。 | Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 1.0.0 |
监视系统使用情况 | 1220.09ab3System.56 - 09.ab | 监视包括入站和出站通信以及文件完整性监视。 | 你的订阅应启用 Log Analytics 代理自动预配 | 1.0.1 |
管理员和操作员日志 | 1270.09ad1System.12 - 09.ad | 组织确保启用正确的日志记录,以便审核管理员活动;并定期审阅系统管理员和操作员日志。 | 特定管理操作应有活动日志警报 | 1.0.0 |
管理员和操作员日志 | 1271.09ad1System.1 - 09.ad | 在系统和网络管理员的控制之外托管的入侵检测系统用于监视系统和网络管理活动的合规性。 | 特定管理操作应有活动日志警报 | 1.0.0 |
业务连续性和风险评估 | 1634.12b1Organizational.1 - 12.b | 组织确定需要业务连续性的关键业务流程。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
业务连续性和风险评估 | 1638.12b2Organizational.345 - 12.b | 业务连续性风险评估 (i) 每年都会在业务资源和流程所有者的充分参与下进行;(ii) 考虑所有业务流程,不仅限于信息资产,还包括特定于信息安全的结果;(iii) 根据与组织相关的关键业务目标和标准(包括关键资源、中断的影响、允许的中断时间和恢复优先级)识别、量化风险并确定其优先级。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
ISO 27001:2013
有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
信息安全组织 | 6.1.2 | 职责分离 | 只多只为订阅指定 3 个所有者 | 3.0.0 |
信息安全组织 | 6.1.2 | 职责分离 | 应为订阅分配了多个所有者 | 3.0.0 |
访问控制 | 9.2.3 | 管理特权访问权限 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
访问控制 | 9.2.3 | 管理特权访问权限 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
访问控制 | 9.2.3 | 管理特权访问权限 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
访问控制 | 9.2.3 | 管理特权访问权限 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
访问控制 | 9.2.4 | 管理用户的机密身份验证信息 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
访问控制 | 9.2.4 | 管理用户的机密身份验证信息 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
访问控制 | 9.2.4 | 管理用户的机密身份验证信息 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
访问控制 | 9.2.5 | 审阅用户访问权限 | 应从订阅中删除弃用的帐户 | 3.0.0 |
访问控制 | 9.2.5 | 审阅用户访问权限 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
访问控制 | 9.2.5 | 审阅用户访问权限 | 应从订阅中删除拥有所有者权限的外部帐户 | 3.0.0 |
访问控制 | 9.2.5 | 审阅用户访问权限 | 应从订阅中删除具有写入权限的外部帐户 | 3.0.0 |
访问控制 | 9.2.6 | 删除或调整访问权限 | 应从订阅中删除弃用的帐户 | 3.0.0 |
访问控制 | 9.2.6 | 删除或调整访问权限 | 应从订阅中删除拥有所有者权限的已弃用帐户 | 3.0.0 |
访问控制 | 9.4.2 | 安全登录过程 | 应对订阅中拥有写入权限的帐户启用 MFA | 3.0.0 |
访问控制 | 9.4.2 | 安全登录过程 | 应在对订阅拥有所有者权限的帐户上启用 MFA | 3.0.0 |
访问控制 | 9.4.2 | 安全登录过程 | 应在对订阅拥有读取权限的帐户上启用 MFA | 3.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。