Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Azure Policy definizioni di criteri predefinite per Azure Virtual Network. Per altre Azure Policy predefinite per altri servizi, vedere Azure Policy definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Azure Policy GitHub.
Rete virtuale di Azure
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center ha rilevato che alcune subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitando l'accesso a tali subnet con Azure Firewall o un firewall di nuova generazione supportato | VerificaSeNonEsiste, Disabilitato | 3.0.0-preview | |
| [Anteprima]: Registro Container deve usare un endpoint servizio di rete virtuale | Questo criterio controlla i Registri Azure Container che non sono configurati per usare un endpoint servizio di rete virtuale. | Controllo, Disabilitato | 1.0.0-preview |
| A criterio IPsec/IKE personalizzato deve essere applicato a tutte le connessioni gateway di rete virtuale Azure | Questo criterio garantisce che tutte le connessioni Azure gateway di rete virtuale usino criteri IKE (Internet Protocol Security)/Internet Key Exchange(IKE) personalizzati. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Controllo, Disabilitato | 1.0.0 |
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Controllo, Disabilitato | 1.0.1 |
| Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Controllo, Disabilitato | 1.0.1 |
| Azure Application Gateway per i contenitori devono avere criteri di sicurezza | Garantisce che Application Gateway for Containers abbia almeno una policy di sicurezza configurata | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure Application Gateway deve essere distribuito con Azure WAF | Richiede Azure Application Gateway risorse da distribuire con Azure WAF. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall è necessario eseguire la migrazione delle regole classiche ai criteri firewall | Eseguire la migrazione da Azure Firewall regole classiche ai criteri firewall per usare strumenti di gestione centralizzati, ad esempio Azure Firewall Manager. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Analisi criteri deve essere abilitata | L'abilitazione di Analisi dei criteri offre visibilità avanzata sul traffico che scorre attraverso Azure Firewall, consentendo l'ottimizzazione della configurazione del firewall senza influire sulle prestazioni dell'applicazione | Controllo, Disabilitato | 1.0.0 |
| Azure Firewall Criteri devono abilitare Intelligence per le minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini vengono originati dal feed di Intelligence sulle minacce Microsoft. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Criterio deve avere proxy DNS abilitato | L'abilitazione del proxy DNS effettuerà il Azure Firewall associato a questo criterio per l'ascolto sulla porta 53 e inoltrare le richieste DNS al server DNS specificato | Controllo, Disabilitato | 1.0.0 |
| Azure Firewall deve essere distribuito per estendersi su più Availability Zones | Per una maggiore disponibilità, è consigliabile distribuire il Azure Firewall per estendersi su più Availability Zones. In questo modo si garantisce che il Azure Firewall rimanga disponibile in caso di errore della zona. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Standard - Le regole classiche devono abilitare Intelligence per le minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini vengono originati dal feed di Intelligence sulle minacce Microsoft. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Standard deve essere aggiornato a Premium per la protezione di nuova generazione | Se si sta cercando una protezione di nuova generazione, ad esempio IDPS e ispezione TLS, è consigliabile aggiornare il Azure Firewall allo SKU Premium. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure i gateway VPN non devono usare lo SKU 'basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Controllo, Disabilitato | 1.0.0 |
| Azure Web Application Firewall in Azure Application Gateway deve essere abilitata l'ispezione del corpo della richiesta | Assicurarsi che i web application firewall associati a Azure Application gateway dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Web Application Firewall in Azure Front Door deve essere abilitata l'ispezione del corpo della richiesta | Assicurarsi che i web application firewall associati a Azure Frontdoor dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Web Application Firewall deve essere abilitato per Azure Front Door punti di ingresso | Distribuire Azure Web Application Firewall (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Verifica, Nega, Disabilitato | 1.0.2 |
| Bot Protection deve essere abilitato per Azure Application Gateway WAF | Questo criterio garantisce che la protezione dei bot sia abilitata in tutti i criteri di Azure Application Gateway Web Application Firewall (WAF) | Verifica, Nega, Disabilitato | 1.0.0 |
| È necessario abilitare Bot Protection per Azure Front Door WAF | Questo criterio garantisce che la protezione dei bot sia abilitata in tutti i criteri di Azure Front Door Web Application Firewall (WAF) | Verifica, Nega, Disabilitato | 1.0.0 |
| Configurare le impostazioni di diagnostica per Azure gruppi di sicurezza di rete per Log Analytics'area di lavoro | Distribuire le impostazioni di diagnostica in Azure gruppi di sicurezza di rete per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi specifici per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.1.1 |
| Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.1.2 |
| I database Cosmos DB devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i database Cosmos DB che non sono configurati per usare un endpoint servizio di rete virtuale. | Controllo, Disabilitato | 1.0.0 |
| Creare l'area di lavoro centrale Log Analytics per Analisi del traffico del flusso di rete virtuale nel gruppo di risorse specificato | Creare un'area di lavoro Log Analytics centrale nell'ambito assegnato e in Gruppo di risorse nwtarg-<subscriptionID> per impostazione predefinita per i flussi della rete virtuale. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Creare NetworkWatcher a livello di area in NetworkWatcherRG per i flussi di rete virtuale | Questo criterio crea un Network Watcher nell'area specificata per abilitare flowlog per le reti virtuali. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Creare un account di archiviazione a livello di area per i flussi di rete virtuale in resourceGroupName RG | Crea un account di archiviazione a livello di area nell'ambito assegnato e nel gruppo di risorse nwtarg-subscriptionID<> per impostazione predefinita per i flussi della rete virtuale. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
| Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DistribuisciSeNonEsiste, Disattivato | 1.1.1 |
| Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs with Traffic Analytics for VNets with regional Storage and centraled Log Analytics | Distribuire i log dei flussi di rete virtuale con Analisi del traffico per le reti virtuali con archiviazione a livello di area e Log Analytics centralizzati. Prima della correzione, assicurarsi che il gruppo di risorse resourceGroupName, l'account di archiviazione Log Analytics l'area di lavoro Network Watcher siano già distribuiti. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| regola limite di frequenza Enable per proteggere da attacchi DDoS Azure Front Door WAF | La regola di limite di frequenza Azure Web Application Firewall (WAF) per Azure Front Door controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli hub eventi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli hub eventi che non sono configurati per usare un endpoint servizio di rete virtuale. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Controllo, Disabilitato | 1.1.0 |
| Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | deny | 1.0.0 |
| Key Vault deve usare un endpoint servizio di rete virtuale | Questo criterio controlla qualsiasi Key Vault non configurato per l'uso di un endpoint servizio di rete virtuale. | Controllo, Disabilitato | 1.0.0 |
| Eseguire la migrazione del WAF dalla configurazione WAF ai criteri WAF nel gateway applicazione | Se si dispone della configurazione WAF anziché dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. L'impostazione dell'inoltro IP disabilita Azure controllo dell'origine e della destinazione per un'interfaccia di rete. Questo criterio deve essere verificato dal team di sicurezza della rete. | deny | 1.0.0 |
| Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso alle risorse Azure e Azure risorse per comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | deny | 1.0.0 |
| Network Watcher i log dei flussi devono essere abilitati per l'analisi del traffico | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni Azure e identificare i punti di accesso, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Controllo, Disabilitato | 1.0.1 |
| è necessario abilitare Network Watcher | Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, a e da Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Gli indirizzi IP pubblici e i prefissi IP pubblici devono avere il tag FirstPartyUsage | Verificare che tutti gli indirizzi IP pubblici e i prefissi IP pubblici abbiano un tag FirstPartyUsage. | Verifica, Nega, Disabilitato | 1.1.0 |
| SQL Server deve usare un endpoint servizio di rete virtuale | Questo criterio controlla qualsiasi SQL Server non configurato per l'uso di un endpoint servizio di rete virtuale. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Controllo, Disabilitato | 1.0.0 |
| Le subnet devono essere private | Assicurarsi che le subnet siano protette per impostazione predefinita impedendo l'accesso in uscita predefinito. Per altre informazioni, passare a https://aka.ms/defaultoutboundaccessretirement | Verifica, Nega, Disabilitato | 1.1.0 |
| Gli hub virtuali devono essere protetti con Azure Firewall | Distribuire un Azure Firewall negli hub virtuali per proteggere e controllare in modo granulare il traffico internet in uscita e in ingresso. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le reti virtuali devono essere protette da Azure Protezione DDoS | Proteggere le reti virtuali da attacchi volumetrici e protocolli con protezione DDoS Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I gateway VPN devono usare solo l'autenticazione Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo identità Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Verifica, Nega, Disabilitato | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Verifica, Nega, Disabilitato | 2.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che l'uso della modalità "Rilevamento" o "Prevenzione" sia attivo in tutti i criteri di Web Application Firewall per il gateway applicazione. | Verifica, Nega, Disabilitato | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per Azure Front Door Service | Impone che l'uso della modalità "Rilevamento" o "Prevenzione" sia attivo in tutti i criteri di Web Application Firewall per Azure Front Door Service. | Verifica, Nega, Disabilitato | 1.0.0 |
Tags
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Aggiungi un tag ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Aggiungi un tag alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
| Add a tag to subscriptions (Aggiungi un tag alle sottoscrizioni) | Aggiunge il tag e il valore specificati alle sottoscrizioni tramite un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nei gruppi di risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nelle risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creata o aggiornata una risorsa. È possibile correggere le risorse esistenti attivando un'attività di correzione. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
| Add or replace a tag on subscriptions (Aggiungi o sostituisci un tag nelle sottoscrizioni) | Aggiunge o sostituisce il tag e il valore specificati nelle sottoscrizioni tramite un'attività di correzione. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi tag e relativo valore dal gruppo di risorse | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Aggiungi tag e relativo valore predefinito ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. Non modifica i tag dei gruppi di risorse creati prima dell'applicazione di questo criterio finché tali gruppi di risorse non vengono modificati. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Aggiungi tag e relativo valore alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Non si applica ai gruppi di risorse. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.1 |
| Eredita un tag dal gruppo di risorse | Aggiunge o sostituisce il tag e il valore specificati del gruppo di risorse padre quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Eredita un tag dal gruppo di risorse se mancante | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse padre quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Eredita un tag dalla sottoscrizione | Aggiunge o sostituisce il tag e il valore specificati della sottoscrizione che li contiene quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Eredita un tag dalla sottoscrizione se mancante | Aggiunge il tag specificato con il relativo valore della sottoscrizione che li contiene quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Impone un tag obbligatorio con il relativo valore ai gruppi di risorse. | deny | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Applica un tag obbligatorio e il relativo valore. Non si applica ai gruppi di risorse. | deny | 1.0.1 |
| Richiedi tag sui gruppi di risorse | Impone l'esistenza di un tag sui gruppi di risorse. | deny | 1.0.0 |
| Richiedi tag sulle risorse | Impone l'esistenza di un tag. Non si applica ai gruppi di risorse. | deny | 1.0.1 |
General
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Località consentite | Questi criteri consentono di limitare le posizioni che l'organizzazione può specificare durante la distribuzione delle risorse. Usare per imporre requisiti di conformità geografica. Esclude i gruppi di risorse, Microsoft. AzureActiveDirectory/b2cDirectories e risorse che usano l'area "globale". | Verifica, Nega, Disabilitato | 1.1.0 |
| Località consentite per i gruppi di risorse | Questi criteri consentono di limitare le località in cui l'organizzazione può creare gruppi di risorse. Usare per imporre requisiti di conformità geografica. | Verifica, Nega, Disabilitato | 1.1.0 |
| Tipi di risorse consentiti | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può distribuire. Solo i tipi di risorse che supportano i 'tag' e la 'località' saranno interessati dal criterio. Per includere tutte le risorse, duplicare il criterio e modificare la 'modalità' impostandola su 'Tutte'. | Verifica, Nega, Disabilitato | 1.1.0 |
| Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | Verifica, Nega, Disabilitato | 2.1.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Controllo, Disabilitato | 1.0.1 |
| Configurare le sottoscrizioni per configurare le funzionalità di anteprima | Questo criterio valuta le funzionalità di anteprima della sottoscrizione esistente. Le sottoscrizioni possono essere corrette per la registrazione a una nuova funzionalità di anteprima. Le nuove sottoscrizioni non verranno registrate automaticamente. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.1 |
| Non consentire l'eliminazione dei tipi di risorse | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può proteggere dall'eliminazione accidentale bloccando le chiamate di eliminazione usando l'effetto di negazione dell'azione. | AzioneNegata, Disabilitato | 1.0.1 |
| Non consentire risorse M365 | Bloccare la creazione di risorse M365. | Verifica, Nega, Disabilitato | 1.0.0 |
| Non consentire risorse MCPP | Bloccare la creazione di risorse MCPP. | Verifica, Nega, Disabilitato | 1.0.0 |
| Escludere le risorse dei costi di utilizzo | Questo criterio consente di estrarre le risorse dei costi di utilizzo. I costi di utilizzo includono elementi come l'archiviazione a consumo e le risorse Azure fatturate in base all'utilizzo. | Verifica, Nega, Disabilitato | 1.0.0 |
| Tipi di risorse non consentiti | Limitare i tipi di risorse che possono essere distribuiti nell'ambiente in uso. La limitazione dei tipi di risorse può ridurre la complessità e la superficie di attacco dell'ambiente, consentendo allo stesso tempo di gestire i costi. I risultati della conformità vengono visualizzati solo per le risorse non conformi. | Verifica, Nega, Disabilitato | 2.0.0 |
| Gli utenti devono eseguire l'autenticazione a più fattori per creare o aggiornare le risorse | Questa definizione di criteri blocca le operazioni di creazione e aggiornamento delle risorse quando il chiamante non viene autenticato tramite MFA. Per altre informazioni, vedere https://aka.ms/mfaforazure. | Verifica, Nega, Disabilitato | 1.1.0 |
| Gli utenti devono eseguire l'autenticazione con l'autenticazione a più fattori per eliminare le risorse | Questa definizione di criteri blocca le operazioni di eliminazione delle risorse quando il chiamante non viene autenticato tramite MFA. Per altre informazioni, vedere https://aka.ms/mfaforazure. | AuditAction, DenyAction, Disabilitato | 1.1.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Azure Policy GitHub.
- Esaminare la struttura di definizione Azure Policy.
- Leggere Informazioni sugli effetti di Criteri.