本頁為Azure 原則 內建政策定義的索引,適用於Azure網路服務。 如需其他服務的更多Azure 原則內建功能,請參見 Azure 原則內建定義。
每個內建政策定義的名稱會連結到 Azure 入口網站中的政策定義。 請使用Version欄位中的連結,查看Azure 原則 GitHub repo的原始碼。
Azure 網路服務
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure 資訊安全中心 已發現,有些子網路並未受到下一代防火牆的保護。 透過使用 Azure 防火牆 或支援的次世代防火牆限制子網存取,保護它們免受潛在威脅 | AuditIfNotExists,已停用 | 3.0.0-preview | |
| [預覽]:應用程式閘道應該是「區域復原」 | 應用程式閘道可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中僅有一個項目的應用程式閘道,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的應用程式閘道,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:配置 Azure Recovery Services 保險庫使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對復原服務保存庫進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0-preview |
| [預覽]:設定復原服務保存庫,以使用私人 DNS 區域進行備份 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對您的復原服務保存庫進行解析。 深入了解:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists,已停用 | 1.0.1-preview |
| [預覽]:防火牆應該是「區域復原」 | 防火牆可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的防火牆,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的防火牆,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:Load Balancer 應該是「區域復原」 | 具有 Basic 以外 SKU 的 Load Balancer 會繼承其前端中公用 IP 位址的復原能力。 結合「公用 IP 位址應該是區域復原」原則時,此方法可確保承受區域中斷的必要備援。 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:NAT 閘道應該是「區域對齊」 | NAT 閘道可以設定為「區域對齊」。 在其區域陣列中只有一個項目的 NAT 閘道,會視為「區域對齊」。 此原則可確保 NAT 閘道設定為在單一可用性區域內運作。 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:公用 IP 位址應該是「區域復原」 | 公用 IP 位址可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的區域公用 IP 位址,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的區域公用 IP 位址,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | 稽核、拒絕、停用 | 1.1.0-preview |
| [預覽]:公用 IP 首碼應該是「區域復原」 | 公用 IP 首碼可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的公用 IP 首碼,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上項目的公用 IP 首碼,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | 稽核、拒絕、停用 | 1.0.0-preview |
| [預覽]:虛擬網路閘道應該是「區域備援」 | 虛擬網路閘道可以設定為「區域備援」。 其 SKU 名稱或階層不是以 'AZ' 結尾的虛擬網路閘道,不是「區域備援」。 此原則可識別缺少承受區域中斷所需備援的虛擬網路閘道。 | 稽核、拒絕、停用 | 1.0.0-preview |
| 必須對所有虛擬網路閘道連線套用自訂的IPsec/IKE政策Azure | 此政策確保所有虛擬網路閘道連線Azure使用自訂的網際協定安全(Ipsec)/網際網路金鑰Exchange(IKE)政策。 支援的演算法和金鑰強度 - https://aka.ms/AA62kb0 | 稽核、已停用 | 1.0.0 |
| 所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否為已啟用。 啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 稽核、已停用 | 1.0.1 |
| 稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確定是否已設定流量記錄。 啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 稽核、已停用 | 1.0.1 |
| 需要 Azure 應用程式閘道 資源部署於 Azure WAF。 | 稽核、拒絕、停用 | 1.0.0 | |
| Azure 應用程式閘道應該啟用資源日誌 | 啟用 Azure 應用程式閘道(加上 WAF)的資源日誌,並串流到 Log Analytics 工作空間。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists,已停用 | 1.0.0 |
| Azure DDoS 防護應該啟用 | 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 | AuditIfNotExists,已停用 | 3.0.1 |
| Azure 防火牆 經典規則應該遷移到 Firewall Policy | 從 Azure 防火牆 Classic Rules 遷移到 Firewall Policy,以利用中央管理工具如 Azure 防火牆管理員。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆 政策分析應該啟用 | 啟用政策分析能提升對 Azure 防火牆 流量的可視性,優化防火牆設定而不影響應用程式效能 | 稽核、已停用 | 1.0.0 |
| Azure 防火牆 政策應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址與網域來源為 Microsoft Threat Intelligence 資料來源。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆 政策應該啟用 DNS 代理 | 啟用 DNS Proxy 會讓與此政策相關的 Azure 防火牆 監聽 53 埠,並將 DNS 請求轉發給指定的 DNS 伺服器 | 稽核、已停用 | 1.0.0 |
| Azure 防火牆 應該部署以跨越多個 可用性區域 | 為了提升可用性,我們建議將 Azure 防火牆 部署到多個 可用性區域。 這確保了在區域故障發生時,你的 Azure 防火牆 仍能保持可用。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆標準-經典規則應啟用威脅情報 | 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址與網域來源為 Microsoft Threat Intelligence 資料來源。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure 防火牆標準應升級為高級級以獲得下一代保護 | 如果你在尋找像 IDPS 和 TLS 檢查這類次世代保護,建議你考慮將 Azure 防火牆 升級為高級 SKU。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Front Door 應該啟用資源日誌 | 啟用 Azure Front Door(加上 WAF)的資源日誌,並串流到 Log Analytics 工作空間。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists,已停用 | 1.0.0 |
| Azure VPN 閘道器不應該使用「基本」的 SKU | 此原則可確保 VPN 閘道不使用「基本」SKU。 | 稽核、已停用 | 1.0.0 |
| Azure Web 應用程式防火牆 在 Azure 應用程式閘道 上應該啟用請求車體檢查 | 確保與 Azure 應用程式 Gateway 相關的 Web 應用程式防火牆已啟用請求體檢查功能。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Front Door 上的 Azure Web 應用程式防火牆 應該啟用了請求車體檢查 | 確保與 Azure Front Doors 相關的網頁應用防火牆已啟用請求體檢查功能。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | 稽核、拒絕、停用 | 1.0.0 |
| Azure Web 應用程式防火牆 應該啟用給Azure Front Door入口點 | 在面向公開的網頁應用程式前部署 Azure Web 應用程式防火牆(WAF),以加強對進來流量的檢查。 Web 應用程式防火牆(WAF)提供集中式保護您的網頁應用程式,防止常見的漏洞與漏洞,例如 SQL 注入、跨站腳本、本地及遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | 稽核、拒絕、停用 | 1.0.2 |
| Bot 保護應啟用於 Azure 應用程式閘道 WAF | 此政策確保所有Azure 應用程式閘道 Web 應用程式防火牆(WAF)政策中啟用機器人保護 | 稽核、拒絕、停用 | 1.0.0 |
| Bot 保護應啟用Azure Front Door WAF | 此政策確保所有Azure Front Door Web 應用程式防火牆(WAF)政策中啟用機器人保護 | 稽核、拒絕、停用 | 1.0.0 |
| 為 blob groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 blob groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 blob_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 blob_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 dfs groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 dfs groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 dfs_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 dfs_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為檔案 groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫檔案 groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為佇列 groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫佇列 groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 queue_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 queue_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為資料表 groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫資料表 groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 table_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 table_secondary groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 Web groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 Web groupID 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 為 web_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 web_secondary 私人端點的 DNS 解析。 | DeployIfNotExists,已停用 | 1.0.0 |
| 將 App Service 應用程式設定為使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會將虛擬網路連結至 App Service。 深入了解:https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns。 | DeployIfNotExists,已停用 | 1.1.0 |
| 設定Azure AI 搜尋服務服務使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私人 DNS 區域連結到你的虛擬網路,進而解析到 Azure AI 搜尋服務 服務。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | DeployIfNotExists,已停用 | 1.0.1 |
| 設定Azure Arc Private Link範圍使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私有 DNS 區域連結到你的虛擬網路,Azure Arc Private Link Scopes。 深入了解:https://aka.ms/arc/privatelink。 | DeployIfNotExists,已停用 | 1.2.0 |
| 設定Azure 自動化帳號的私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 你需要正確設定 Private DNS 區域,才能透過 Azure Private Link 連接到 Azure 自動化 帳號。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定 Azure Cache for Redis Enterprise 使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私人 DNS 區域可以連結到你的虛擬網路,然後解析到 Azure Cache for Redis Enterprise。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定Azure Cache for Redis使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私人 DNS 區域可以連結到你的虛擬網路,然後解析到 Azure Cache for Redis。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| Azure Databricks設定工作區使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域連結到你的虛擬網路,解析到 Azure Databricks 工作空間。 深入了解:https://aka.ms/adbpe。 | DeployIfNotExists,已停用 | 1.0.1 |
| 設定Azure裝置更新讓IoT 中樞帳號使用私有DNS區域 | Azure 私用 DNS 提供可靠且安全的 DNS 服務,在虛擬網路中管理與解析網域名稱,無需新增客製化 DNS 解決方案。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此政策部署一個專用 DNS 區域用於 IoT 中樞 私有端點的裝置更新。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定Azure 檔案同步使用私有DNS區域 | 若要從已註冊的伺服器存取儲存體同步服務資源介面的私人端點,您必須設定 DNS 以將正確的名稱解析為私人端點的私人 IP 位址。 此政策建立儲存同步服務私有端點介面所需的 Azure 私用 DNS 區域與 A 紀錄。 | DeployIfNotExists,已停用 | 1.1.0 |
| 配置Azure HDInsight叢集使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私人 DNS 區域連結到你的虛擬網路,以解析到 Azure HDInsight 叢集。 深入了解:https://aka.ms/hdi.pl。 | DeployIfNotExists,已停用 | 1.0.0 |
| 配置Azure金鑰庫使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對金鑰保存庫進行解析。 深入了解:https://aka.ms/akvprivatelink。 | DeployIfNotExists,已停用 | 1.0.1 |
| 設定Azure Machine Learning工作區使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私有 DNS 區域連結到你的虛擬網路,以解析到 Azure Machine Learning 工作空間。 深入了解:https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview。 | DeployIfNotExists,已停用 | 1.1.0 |
| 配置Azure 受控 Grafana工作區使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私有 DNS 區域連結到你的虛擬網路,解析到 Azure 受控 Grafana 工作區。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定Azure Migrate資源使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私有 DNS 區域連結到你的虛擬網路,進而解析你的 Azure Migrate 專案。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定 Azure 監視器 Private Link 範圍使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私人 DNS 區域連結到你的虛擬網路,以解析 Azure 監視器 的私人連結範圍。 深入了解:https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定Azure Synapse工作區使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私人 DNS 區域連結到你的虛擬網路,以解析到 Azure Synapse 工作空間。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint。 | DeployIfNotExists,已停用 | 2.0.0 |
| 配置Azure 虛擬桌面主機池資源使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域連結到你的虛擬網路,以解析到 Azure 虛擬桌面 資源。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| 配置Azure 虛擬桌面工作區資源使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域連結到你的虛擬網路,以解析到 Azure 虛擬桌面 資源。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| 配置Azure Web PubSub服務使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 一個私有 DNS 區域連結到你的虛擬網路,以解析到 Azure Web PubSub 服務。 深入了解:https://aka.ms/awps/privatelink。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定 BotService 資源以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 BotService 相關資源進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定認知服務帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對認知服務帳戶進行解析。 深入了解:https://go.microsoft.com/fwlink/?linkid=2110097。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定容器登錄以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,針對您的 Azure Container Registry 進行解析。 深入了解:https://aka.ms/privatednszone 和 https://aka.ms/acr/private-link。 | DeployIfNotExists,已停用 | 1.0.1 |
| 設定 CosmosDB 帳戶以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 CosmosDB 帳戶進行解析。 深入了解:https://aka.ms/privatednszone。 | DeployIfNotExists,已停用 | 2.0.0 |
| 為Azure網路安全群組設定診斷設定,以Log Analytics工作空間 | 將診斷設定部署到 Azure 網路安全群組,以便將資源日誌串流到 Log Analytics 工作區。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定磁碟存取資源,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對受控磁碟進行解析。 深入了解:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定事件中樞命名空間以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對事件中樞命名空間進行解析。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定與 Microsoft 的檔案分享。FileShares 用於私有 DNS 區域 | 要存取 Microsoft 的私人端點。FileShare 資源,你需要設定 DNS 來解析正確的名稱,讓它們解析到你私有端點的私有 IP 位址。 此政策建立Microsoft介面所需的Azure 私用 DNS區與A區紀錄。檔案共享私有端點。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定IoT 中樞裝置配置實例以使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域連結到你的虛擬網路,解析到 IoT 中樞 裝置配置服務實例。 深入了解:https://aka.ms/iotdpsvnet。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定網路安全性群組以啟用流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有網路安全性群組啟用流量分析。 如果已啟用流量分析,則原則不會覆寫其設定。 網路安全性群組也會啟用流量記錄 (如果尚未啟用)。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.2.0 |
| 設定網路安全性群組以使用特定工作區、儲存體帳戶和流量記錄保留原則進行流量分析 | 如果已啟用流量分析,則原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.2.0 |
| 設定連線到應用程式組態的私人端點私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域可以連結至您的虛擬網路,以解析應用程式組態執行個體。 深入了解:https://aka.ms/appconfig/private-endpoint。 | DeployIfNotExists,已停用 | 1.0.0 |
| 私用 DNS 記錄允許私有連線至私有端點。 私有端點連線透過允許私密連接您的 Azure Data Factory,無需在來源或目的地設置公共 IP 位址,從而實現安全的通訊。 欲了解更多關於Azure Data Factory私有端點與 DNS 區域的資訊,請參見 https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | DeployIfNotExists,已停用 | 1.0.0 | |
| 為連接Azure 地圖服務帳號的私有端點設定私人 DNS 區域。 | 私用 DNS 記錄允許私有連線至私有端點。 私人端點連線透過在不需來源或目的地的公共 IP 位址的情況下,允許與您的 Azure 地圖服務 帳號進行私密連線,從而實現安全的通訊。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定 Private Link for Azure AD 使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域會連結到你的虛擬網路,再解析到 Azure AD。 深入了解:https://aka.ms/privateLinkforAzureADDocs。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定服務匯流排命名空間使用私有DNS區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域連結到你的虛擬網路,解析到 服務匯流排 命名空間。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | DeployIfNotExists,已停用 | 1.0.0 |
| 設定虛擬網路以啟用流量記錄和流量分析 | 使用原則建立期間所提供的設定,針對特定區域中裝載的所有虛擬網路啟用流量分析和流量記錄。 此原則不會覆寫已啟用這些功能的虛擬網路目前的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.1.1 |
| 將虛擬網路設定為針對流量記錄和流量分析強制執行工作區、儲存體帳戶和保留間隔 | 如果虛擬網路已啟用流量分析,則此原則會將其現有的設定覆寫為原則建立期間所提供的設定。 流量分析是一個雲端式解決方案,可顯示雲端網路中的使用者和應用程式活動。 | DeployIfNotExists,已停用 | 1.1.2 |
| 在 NetworkWatcherRGB 中建立區域 NetworkWatcher for VNet Flowlogs | 此政策會在指定區域建立一個 網路監看員,以啟用虛擬網路的 Flowlogs。 | DeployIfNotExists,已停用 | 1.0.0 |
| Deploy - 設定Azure 事件方格網域使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| Deploy - 設定Azure 事件方格主題使用私有 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 深入了解:https://aka.ms/privatednszone。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| Deploy - 配置Azure IoT Hub 使用私有 DNS 區域 | Azure 私用 DNS 提供可靠且安全的 DNS 服務,在虛擬網路中管理與解析網域名稱,無需新增客製化 DNS 解決方案。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此政策為 IoT 中樞 私有端點部署私人 DNS 區域。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| 部署 - 將 IoT Central 設定為使用私人 DNS 區域 | Azure 私用 DNS 提供可靠且安全的 DNS 服務,在虛擬網路中管理與解析網域名稱,無需新增客製化 DNS 解決方案。 您可以使用私人 DNS 區域來覆寫 DNS 解析,方法是使用您自己的私人端點自訂網域名稱。 此原則會為 IoT Central 私人端點部署私人 DNS 區域。 | DeployIfNotExists,已停用 | 1.0.0 |
| 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私有 DNS 區域連結到你的虛擬網路,解析到 Azure SignalR Service 資源。 深入了解:https://aka.ms/asrs/privatelink。 | DeployIfNotExists,已停用 | 1.0.0 | |
| 部署 - 為連線到 Batch 帳戶的私人端點設定私人 DNS 區域 | 私用 DNS 記錄允許私有連線至私有端點。 私人端點連線允許安全通訊,方法是啟用 Batch 帳戶的私人連線,而無需來源或目的地上的公用 IP 位址。 如需 Azure Batch 中私人端點和 DNS 區域的詳細資訊,請參閱 https://docs.microsoft.com/azure/batch/private-connectivity。 | DeployIfNotExists,已停用 | 1.0.0 |
| 使用目標網路安全性群組部署流量記錄資源 | 設定特定網路安全性群組的流量記錄。 其可記錄流過網路安全性群組的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | deployIfNotExists | 1.1.0 |
| 使用目標虛擬網路部署流量記錄資源 | 設定特定虛擬網路的流量記錄。 其可記錄流過虛擬網路的 IP 流量相關資訊。 流量記錄有助於辨識未知或不需要的流量、使用企業存取規則來驗證網路隔離及合規性、分析遭入侵 IP 與網路介面的網路流量。 | DeployIfNotExists,已停用 | 1.1.1 |
| 部署網路安全性群組的診斷設定 | 此原則會將診斷設定自動部署至網路安全性群組。 名為 '{storagePrefixParameter}{NSGLocation}' 的儲存體帳戶將會自動建立。 | deployIfNotExists | 2.0.1 |
| 於虛擬網路建立時部署網路監看員 | 此原則會在具有虛擬網路的區域中建立網路監看員資源。 您必須確定名為 networkWatcherRG 的資源群組是否存在,其將用來部署網路監看員執行個體。 | DeployIfNotExists | 1.0.0 |
| 部署具備流量分析的VNet流量日誌,適用於區域儲存及集中式Log Analytics | 部署具備流量分析的 VNet 流量日誌,適用於具備區域儲存及集中式 Log Analytics 的 VNet。 在修復前,請確保 resourceGroupName、Resource Group、Storage Account、Log Analytics Workspace、網路監看員 都已經部署完成。 | DeployIfNotExists,已停用 | 1.0.0 |
| 針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用應用程式閘道器(microsoft.network/applicationgateways)的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至應用閘道的 Log Analytics 工作空間(microsoft.network/applicationgateways)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對應用程式閘道 (microsoft.network/applicationgateways) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對應用程式閘道 (microsoft.network/applicationgateways) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用 Bastions (microsoft.network/bastionhosts) 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 Bastions 的 Log Analytics 工作空間(microsoft.network/bastionhosts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 Bastions (microsoft.network/bastionhosts) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Bastions (microsoft.network/bastionhosts) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 ExpressRoute 電路(microsoft.network/expressroutecircuits)的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 ExpressRoute 電路的 Log Analytics 工作空間(microsoft.network/expressroutecircuits)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 ExpressRoute 線路 (microsoft.network/expressroutecircuits) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 將防火牆(microsoft.network/azurefirewalls)的類別群組日誌啟用至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 Firewall 的 Log Analytics 工作空間(microsoft.network/azurefirewalls)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用按類別群組記錄防火牆(microsoft.network/azurefirewalls)至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至防火牆的 Log Analytics 工作區(microsoft.network/azurefirewalls)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對防火牆 (microsoft.network/azurefirewalls) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對防火牆 (microsoft.network/azurefirewalls) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用依類別群組記錄前門與 CDN 設定檔(microsoft.network/frontdoors)至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 Log Analytics 工作空間,用於 Front Door 與 CDN 設定檔(microsoft.network/frontdoors)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Front Door 和 CDN 設定檔 (microsoft.network/frontdoors) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用負載平衡器(microsoft.network/loadbalancers)依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至負載平衡器的 Log Analytics 工作空間(microsoft.network/loadbalancers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對負載平衡器 (microsoft.network/loadbalancers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對負載平衡器 (microsoft.network/loadbalancers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.network/dnsresolverpolicies 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策透過類別群組部署診斷設定,將日誌路由至 microsoft.network/dnsresolverpolicies 的 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/dnsresolverpolicies 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/dnsresolverpolicies 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.network/networkmanagers/ipampools 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 microsoft.network/networkmanagers/ipampools 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networkmanagers/ipampools 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networkmanagers/ipampools 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.network/networksecurityperimeters 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 microsoft.network/networksecurityperimeters 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/networksecurityperimeters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/networksecurityperimeters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用 microsoft.network/p2svpngateways 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 microsoft.network/p2svpngateways 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 microsoft.network/p2svpngateways 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/p2svpngateways 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 microsoft.network/vpngateways 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.network/vpngateways 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 microsoft.network/vpngateways 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.network/vpngateways 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.network/vpngateways 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkanalytics/dataproducts 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkanalytics/dataproducts 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.networkanalytics/dataproducts 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 microsoft.networkanalytics/dataproducts 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkanalytics/dataproducts 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkanalytics/dataproducts 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/baremetalmachines 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/baremetalmachines 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.networkcloud/baremetalmachines 的類別群組記錄功能至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 microsoft.networkcloud/baremetalmachines 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/baremetalmachines 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/baremetalmachines 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/clusters 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/clusters 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.networkcloud/clusters 的類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 microsoft.networkcloud/clusters 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/clusters 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/clusters 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/storageappliances 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/storageappliances 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用 microsoft.networkcloud/storageappliances 的類別群組記錄功能至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 microsoft.networkcloud/storageappliances 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkcloud/storageappliances 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkcloud/storageappliances 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkfunction/azuretrafficcollectors 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkfunction/azuretrafficcollectors 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Enable loging by category group for microsoft.networkfunction/azuretrafficcollectors to Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策會透過類別群組部署診斷設定,將日誌路由至 microsoft.networkfunction/azuretrafficcollectors 的 Log Analytics 工作空間。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.networkfunction/azuretrafficcollectors 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.networkfunction/azuretrafficcollectors 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路管理員 (microsoft.network/networkmanagers) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路管理員 (microsoft.network/networkmanagers) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用依類別群組記錄網路管理員(microsoft.network/networkmanagers)至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 Log Analytics 工作空間(用於網路管理員,如 microsoft.network/networkmanagers)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路管理員 (microsoft.network/networkmanagers) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路管理員 (microsoft.network/networkmanagers) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路安全性群組 (microsoft.network/networksecuritygroups) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路安全性群組 (microsoft.network/networksecuritygroups) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用依類別群組記錄網路安全群組(microsoft.network/networksecuritygroups)至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 Log Analytics 工作空間,用於網路安全群組(microsoft.network/networksecuritygroups)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對網路安全性群組 (microsoft.network/networksecuritygroups) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對網路安全性群組 (microsoft.network/networksecuritygroups) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對公用 IP 位址 (microsoft.network/publicipaddresses) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 位址 (microsoft.network/publicipaddresses) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用依類別群組記錄公共 IP 位址(microsoft.network/publicipaddresses)至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至 Log Analytics 工作空間,用於公共 IP 位址(microsoft.network/publicipaddresses)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對公用 IP 位址 (microsoft.network/publicipaddresses) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 位址 (microsoft.network/publicipaddresses) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用依類別群組記錄公共IP前綴(microsoft.network/publicipprefixes)至Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 Log Analytics 工作空間,用於公共 IP 前綴(microsoft.network/publicipprefixes)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對公用 IP 前置詞 (microsoft.network/publicipprefixes) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用依類別群組記錄流量管理設定檔(microsoft.network/trafficmanagerprofiles)至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至 Log Analytics 工作區,以支援流量管理設定檔(microsoft.network/trafficmanagerprofiles)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對流量管理員設定檔 (microsoft.network/trafficmanagerprofiles) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用虛擬網路閘道器(microsoft.network/virtualnetworkgateways)依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,使用類別群組將日誌路由至虛擬網路閘道器的 Log Analytics 工作區(microsoft.network/virtualnetworkgateways)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路閘道 (microsoft.network/virtualnetworkgateways) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對虛擬網路 (microsoft.network/virtualnetworks) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路 (microsoft.network/virtualnetworks) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 啟用虛擬網路(microsoft.network/virtualnetworks)類別群組的日誌至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此政策部署診斷設定,利用類別群組將日誌路由至虛擬網路的 Log Analytics 工作空間(microsoft.network/virtualnetworks)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對虛擬網路 (microsoft.network/virtualnetworks) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對虛擬網路 (microsoft.network/virtualnetworks) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Azure Web 應用程式防火牆(WAF)的 Azure Front Door 速率限制規則控制在速率限制期間,特定用戶端 IP 位址允許對應用程式的請求數量。 | 稽核、拒絕、停用 | 1.0.0 | |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | 稽核、已停用 | 1.1.0 |
| 閘道子網路不應設定網路安全性群組 | 若閘道子網路中設定了網路安全性群組,此原則將予以拒絕。 為閘道子網路指派網路安全性群組,將導致閘道停止運作。 | deny | 1.0.0 |
| 將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則 | 如果您具有 WAF 組態而非 WAF 原則,您可能想要移至新的 WAF 原則。 其後,防火牆原則將支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。 | 稽核、拒絕、停用 | 1.0.0 |
| 網路介面應連線至已核准虛擬網路的已核准子網路 | 此原則會阻止網路介面連線到未核准的虛擬網路或子網路。 https://aka.ms/VirtualEnclaves | 稽核、拒絕、停用 | 1.0.0 |
| 網路介面應停用 IP 轉送 | 此原則會拒絕已啟用 IP 轉送的網路介面。 IP 轉發設定會禁用 Azure 對網路介面來源與目的地的檢查。 這應該由網路安全性小組來檢閱。 | deny | 1.0.0 |
| 網路介面不應設定公用 IP | 此原則會拒絕設定了任何公用 IP 的網路介面。 公共 IP 位址允許網際網路資源與 Azure 資源的入站通訊,以及 Azure 資源的出站與網際網路的通訊。 這應該由網路安全性小組來檢閱。 | deny | 1.0.0 |
| 網路監看員 流量日誌應該啟用流量分析 | 流量分析分析流量日誌,提供您 Azure 雲端的流量洞察。 它可用來視覺化Azure訂閱期間的網路活動,識別熱點、識別安全威脅、理解流量模式、精確定位網路設定錯誤等。 | 稽核、已停用 | 1.0.1 |
| 網路監看員應該啟用 | 網路監看員 是一項區域性服務,讓您能在 Azure 中、與 Azure 及從 Azure 連線到網路情境層級監控與診斷狀況。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists,已停用 | 3.0.0 |
| 公共 IP 位址應該啟用資源日誌以Azure DDoS 防護 | 在診斷設定中啟用公共 IP 位址的資源日誌,以便串流到 Log Analytics 工作區。 透過通知、報告和流量記錄,深入了解攻擊流量及為降低 DDoS 攻擊所採取的動作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 公用 IP 和公用 IP 首碼應具有 FirstPartyUsage 標籤 | 確定所有公用 IP 位址和公用 IP 首碼都有 FirstPartyUsage 標籤。 | 稽核、拒絕、停用 | 1.1.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含一份允許或拒絕網路流量到你子網的 存取控制 List(ACL)規則清單。 | AuditIfNotExists,已停用 | 3.0.0 |
| 子網路應該是私人的 | 藉由防止預設的輸出存取,確定您的子網路是安全的。 如需詳細資訊,請移至 https://aka.ms/defaultoutboundaccessretirement | 稽核、拒絕、停用 | 1.1.0 |
| 在虛擬樞紐部署 Azure 防火牆,以保護並細緻控制網路的出口與入口流量。 | 稽核、拒絕、停用 | 1.0.0 | |
| 虛擬機器應該連線到已核准的虛擬網路 | 此原則會稽核任何連線到未核准之虛擬網路的虛擬機器。 | 稽核、拒絕、停用 | 1.0.0 |
| 虛擬網路是否應該拒絕連結到其他租戶服務的私有端點 | 本政策僅適用於 Mission Platform 的產品與服務;不支援超出這些範圍的使用。 防止私人端點連接其他 Azure AD 租戶的服務,確保資料不會脫離組織控制,並降低資料外洩的風險。 | 稽核、拒絕、停用 | 1.0.0 |
| 虛擬網路 應該透過防止預設的外出存取來確保子網路的安全 | 本政策僅適用於 Mission Platform 的產品與服務;不支援超出這些範圍的使用。 透過防止預設的外出存取,確保所有子網都具備安全。 如需詳細資訊,請移至 https://aka.ms/defaultoutboundaccessretirement | 稽核、拒絕、停用 | 1.0.0 |
| 虛擬網路 應該指定允許的服務端點 | 本政策僅適用於 Mission Platform 的產品與服務;不支援超出這些範圍的使用。 限制子網路上可啟用的 Azure 服務端點,以減少攻擊面,並確保虛擬網路僅能存取核准的服務。 | 稽核、拒絕、停用 | 1.0.0 |
| 虛擬網路 應該指定允許的 Vnet Peers | 本政策僅適用於 Mission Platform 的產品與服務;不支援超出這些範圍的使用。 控制哪些虛擬網路可以互相對等連接,以防止未經授權的網路連線,並確保工作負載間的網路隔離。 | 稽核、拒絕、停用 | 1.0.0 |
| 本政策僅適用於 Mission Platform 的產品與服務;不支援超出這些範圍的使用。 限制哪些 Azure 服務可以被委派控制子網,以確保只有核准的服務能將資源注入虛擬網路。 | 稽核、拒絕、停用 | 1.0.0 | |
| 利用 Azure DDoS 保護,保護您的虛擬網路免受體積與協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 | |
| 虛擬網路應該使用指定的虛擬網路閘道 | 此原則會稽核任何虛擬網路是否預設路由未指向指定的虛擬網路閘道。 | AuditIfNotExists,已停用 | 1.0.0 |
| VPN 閘道器應僅對點對點用戶使用Azure Active Directory(Azure AD)認證 | 關閉本地認證方法可提升安全性,確保 VPN 閘道器僅使用 Azure Active Directory 身份來進行認證。 想了解更多關於 Azure AD 認證的資訊,請見 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | 稽核、拒絕、停用 | 1.0.0 |
| 應用閘道Web 應用程式防火牆(WAF)> | 在面向公開的網頁應用程式前部署 Azure Web 應用程式防火牆(WAF),以加強對進來流量的檢查。 Web 應用程式防火牆(WAF)提供集中式保護您的網頁應用程式,防止常見的漏洞與漏洞,例如 SQL 注入、跨站腳本、本地及遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | 稽核、拒絕、停用 | 2.0.0 |
| 強制所有 Web 應用程式防火牆 的 Application Gateway 政策必須啟用「偵測」或「預防」模式。 | 稽核、拒絕、停用 | 1.0.0 | |
| Web 應用程式防火牆(WAF)應使用指定的模式來Azure Front Door Service | 強制所有 Azure Front Door Service 的 Web 應用程式防火牆 政策必須啟用「偵測」或「預防」模式。 | 稽核、拒絕、停用 | 1.0.0 |
後續步驟
- 請參考 Azure 原則 GitHub 倉庫 上的內建功能。
- 請檢視Azure 原則定義結構。
- 檢閱了解原則效果。