このページは、Azure App ServiceのAzure Policy組み込みポリシー定義のインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Azure App Service
| 名前 (Azure portal) |
説明 | 効果 | バージョン (GitHub) |
|---|---|---|---|
| [プレビュー]: App Service プランをゾーン冗長にする必要がある | App Service プランをゾーン冗長にするかどうかを構成できます。 App Service プランの 'zoneRedundant' プロパティを 'false' に設定すると、ゾーン冗長用に構成されません。 このポリシーでは、App Service プランのゾーン冗長構成を識別して適用します。 | Audit、Deny、Disabled | 1.0.0-preview |
| App Service アプリ スロットを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| App Service アプリ スロットで SSH を無効にする必要がある | Azure App Serviceでは、サービスで実行されているコンテナーへの SSH セッションを開くことができます。 この機能を無効にして、App Service アプリで SSH が誤って開いたままにならないようにし、不正アクセスのリスクを軽減する必要があります。 詳細については、https://aka.ms/app-service-ssh を参照してください | Audit、Deny、Disabled | 1.0.0 |
| 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョン VNET 統合を通じてルーティングされません。 2024-11-01 より前の API バージョンでは、'vnetImagePullEnabled' と 'vnetContentShareEnabled' を true に設定します。 2024-11-01 以降では、'outboundVnetRouting.imagePullTraffic' と 'outboundVnetRouting.contentShareTraffic' を true に設定します。 詳細については、https://aka.ms/appservice-vnet-configuration-routingを参照してください。 | Audit、Deny、Disabled | 1.1.0 | |
| App Service アプリ スロットでエンド ツー エンド暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| 既定では、リージョン VNET 統合では、RFC1918トラフィックのみが仮想ネットワークにルーティングされます。 2024-11-01 より前の API バージョンの場合は、"vnetRouteAllEnabled" を true に設定して、Azure Virtual Networkへのすべての送信トラフィックを有効にします。 2024-11-01 以降では、'outboundVnetRouting.applicationTraffic' を true に設定します。 これにより、すべての送信トラフィックに対してネットワーク セキュリティ グループとユーザー定義ルートが有効になります。 | Audit、Deny、Disabled | 1.1.0 | |
| App Service アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、HTTP バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリのスロットでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Service スロットで認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service アプリのスロットでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Service スロットで認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.4 |
| App Service アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.1 |
| App Service アプリ スロットでは、リソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロスオリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査、無効、拒否 | 2.0.0 |
| App Service アプリ スロットは、自動生成されたドメイン名ラベルスコープを提供する必要があります | アプリに自動生成されたドメイン名ラベル スコープを指定すると、一意の URL を使用してアプリにアクセスできるようになります。 詳細については、https://aka.ms/app-service-autoGeneratedDomainNameLabelScopeを参照してください。 | 監査、無効、拒否 | 1.0.0 |
| App Serivce アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS の強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、コンテンツ ディレクトリにAzureファイル共有を使用する必要があります | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 App Service コンテンツのホストにAzure Filesを使用する方法の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594を参照してください。 | Audit、Disabled | 1.0.0 |
| App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、マネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 | AuditIfNotExists、Disabled | 1.2.0 |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Javaソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、App Service アプリに最新のJava バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすJavaバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 | |
| PHP を使用する App Service アプリ スロットでは、指定された 'PHP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Pythonソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、App Service アプリに最新のPython バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすPythonバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 | |
| App Service アプリを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 3.2.0 |
| App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| App Service アプリで SSH を無効にする必要がある | Azure App Serviceでは、サービスで実行されているコンテナーへの SSH セッションを開くことができます。 この機能を無効にして、App Service アプリで SSH が誤って開いたままにならないようにし、不正アクセスのリスクを軽減する必要があります。 詳細については、https://aka.ms/app-service-ssh を参照してください | Audit、Deny、Disabled | 1.0.0 |
| 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョン VNET 統合を通じてルーティングされません。 2024-11-01 より前の API バージョンでは、'vnetImagePullEnabled' と 'vnetContentShareEnabled' を true に設定します。 2024-11-01 以降では、'outboundVnetRouting.imagePullTraffic' と 'outboundVnetRouting.contentShareTraffic' を true に設定します。 詳細については、https://aka.ms/appservice-vnet-configuration-routingを参照してください。 | Audit、Deny、Disabled | 1.1.0 | |
| App Service アプリでエンド ツー エンド暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| 既定では、リージョン VNET 統合では、RFC1918トラフィックのみが仮想ネットワークにルーティングされます。 2024-11-01 より前の API バージョンの場合は、"vnetRouteAllEnabled" を true に設定して、Azure Virtual Networkへのすべての送信トラフィックを有効にします。 2024-11-01 以降では、'outboundVnetRouting.applicationTraffic' を true に設定します。 これにより、すべての送信トラフィックに対してネットワーク セキュリティ グループとユーザー定義ルートが有効になります。 | Audit、Deny、Disabled | 1.1.0 | |
| App Service アプリでは認証を有効にする必要がある | Azure App Service認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、Web アプリに到達する前にトークンを持つ要求を認証したりする機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、HTTP バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Services で認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Services で認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | AuditIfNotExists、Disabled | 1.0.3 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリでリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロスオリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査、無効、拒否 | 4.0.0 |
| App Service アプリは、自動生成されたドメイン名ラベルスコープを提供する必要があります | アプリに自動生成されたドメイン名ラベル スコープを指定すると、一意の URL を使用してアプリにアクセスできるようになります。 詳細については、https://aka.ms/app-service-autoGeneratedDomainNameLabelScopeを参照してください。 | 監査、無効、拒否 | 1.0.0 |
| App Service アプリは FTPS のみを要求する必要がある | セキュリティを強化するために FTPS の強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある | サポートされている SKU を使用すると、Azure Private Linkを使用すると、ソースまたは宛先でパブリック IP アドレスなしで仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | Audit、Deny、Disabled | 4.3.0 |
| App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure仮想ネットワークから選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリでは、コンテンツ ディレクトリにAzureファイル共有を使用する必要があります | アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 App Service コンテンツのホストにAzure Filesを使用する方法の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594を参照してください。 | Audit、Disabled | 3.0.0 |
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリではプライベート リンクを使用する必要がある | Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 | AuditIfNotExists、Disabled | 2.2.0 |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Javaソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、App Service アプリに最新のJava バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすJavaバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 | |
| PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の PHP バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす PHP バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.2.0 |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Pythonソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、App Service アプリに最新のPython バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすPythonバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 | |
| App Service Environmentアプリはパブリック インターネット経由で到達できません | App Service Environmentにデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワーク内の IP アドレスを使用してApp Service Environmentをデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environmentを内部ロード バランサーと共にデプロイする必要があります。 | Audit、Deny、Disabled | 3.0.0 |
| App Service Environmentが正しく機能するために必要な最小および最も強力な暗号スイートは、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384とTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256の 2 つあります。 | Audit、Disabled | 1.0.0 | |
| App Service Environmentでは内部暗号化が有効になっている必要があります | InternalEncryption を true に設定すると、フロントエンドとApp Service Environmentのワーカー間のページファイル、ワーカー ディスク、および内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
| App Service Environmentでは、TLS 1.0 と 1.1 が無効になっている必要があります | TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 受信 TLS 1.0 および 1.1 トラフィックを無効にすると、App Service Environmentでアプリをセキュリティで保護できます。 | Audit、Deny、Disabled | 2.0.1 |
| FTP デプロイのローカル認証を無効にするように App Service アプリのスロットを構成する | FTP デプロイのローカル認証方法を無効にすると、App Service スロットで認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| SCM サイトのローカル認証を無効にするように App Service アプリのスロットを構成する | SCM サイトのローカル認証方法を無効にすると、App Service スロットで認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| パブリック ネットワーク アクセスを無効にするように App Service アプリ スロットを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.2.0 |
| HTTPS を介してのみアクセスできるように App Service アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
| リモート デバッグを無効にするように App Service アプリ スロットを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
| 最新の TLS バージョンを使用するように App Service アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 | DeployIfNotExists、Disabled | 1.3.0 |
| FTP デプロイのローカル認証を無効にするように App Service アプリを構成する | FTP デプロイのローカル認証方法を無効にすると、App Services で認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| SCM サイトのローカル認証を無効にするように App Service アプリを構成する | SCM サイトのローカル認証方法を無効にすると、App Services で認証にMicrosoft Entra ID のみが必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/app-service-disable-basic-auth を参照してください。 | DeployIfNotExists、Disabled | 1.0.3 |
| パブリック ネットワーク アクセスを無効にするように App Service アプリを構成する | App Services の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.2.0 |
| HTTPS を介してのみアクセスできるように App Service アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.0.0 |
| リモート デバッグを無効にするように App Service アプリを構成する | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.0.0 |
| 最新の TLS バージョンを使用するように App Service アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにしてください。 | DeployIfNotExists、Disabled | 1.2.0 |
| パブリック ネットワーク アクセスを無効にするように関数アプリ スロットを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.3.0 |
| HTTPS を介してのみアクセスできるように関数アプリ スロットを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.1.0 |
| リモート デバッグを無効にするように関数アプリ スロットを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.2.0 |
| 最新の TLS バージョンを使用するように関数アプリ スロットを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.4.0 |
| パブリック ネットワーク アクセスを無効にするように関数アプリを構成する | 関数アプリの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Modify、Disabled | 1.3.0 |
| HTTPS を介してのみアクセスできるように関数アプリを構成する | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Modify、Disabled | 2.1.0 |
| リモート デバッグを無効にするように関数アプリを構成する | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | DeployIfNotExists、Disabled | 1.1.0 |
| 最新の TLS バージョンを使用するように関数アプリを構成する | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | DeployIfNotExists、Disabled | 1.3.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、App Service (microsoft.web/sites) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、App Service Environment (microsoft.web/hostingenvironments) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| App Service Environment (microsoft.web/hostingenvironments) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、App Service Environment (microsoft.web/hostingenvironments) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、Function App (microsoft.web/sites) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| 関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョン VNET 統合を通じてルーティングされません。 2024-11-01 より前の API バージョンでは、'vnetImagePullEnabled' と 'vnetContentShareEnabled' を true に設定します。 2024-11-01 以降では、'outboundVnetRouting.imagePullTraffic' と 'outboundVnetRouting.contentShareTraffic' を true に設定します。 Flex/Consumption プランでは使用できません。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.2.0 | |
| 関数アプリ スロットでエンドツーエンドの暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | Audit、Deny、Disabled | 1.1.0 |
| 既定では、リージョン Azure Virtual Network (VNET) 統合を使用する場合、アプリはそれぞれの仮想ネットワークにRFC1918トラフィックのみをルーティングします。 2024-11-01 より前のバージョンの API の場合は、"vnetRouteAllEnabled" を true に設定して、Azure Virtual Networkへのすべての送信トラフィックを有効にします。 API バージョン 2024-11-01 以降では、'outboundVnetRouting.applicationTraffic' を true に設定します。 このポリシーは、Flex Consumption または Consumption ホスティング プランで実行されていない関数アプリにのみ適用する必要があることに注意してください。 | Audit、Deny、Disabled | 1.2.0 | |
| 関数アプリ スロットでは、クライアント証明書 (受信クライアント証明書) が有効になっている必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、HTTP バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.1.0 |
| 関数アプリ スロットでは、リモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 1.1.0 |
| 関数アプリ スロットでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 関数アプリ スロットに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査、無効、拒否 | 2.1.0 |
| 関数アプリ スロットは、自動生成されたドメイン名ラベル スコープを提供する必要があります | アプリに自動生成されたドメイン名ラベル スコープを指定すると、一意の URL を使用してアプリにアクセスできるようになります。 詳細については、https://aka.ms/app-service-autoGeneratedDomainNameLabelScopeを参照してください。 | 監査、無効、拒否 | 1.1.0 |
| 関数アプリ スロットでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS の強制を有効にしてください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Function アプリ スロットでは、コンテンツ ディレクトリにAzureファイル共有を使用する必要があります | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 App Service コンテンツのホストにAzure Filesを使用する方法の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594を参照してください。 | Audit、Disabled | 1.1.0 |
| 関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 1.3.0 |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Javaソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、Function アプリに最新のJava バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすJavaバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 | |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Pythonソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、Function アプリに最新のPython バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすPythonバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 | |
| 関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、https://aka.ms/app-service-private-endpoint を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| 既定では、コンテナー イメージのプルやコンテンツ ストレージのマウントなどのアプリ構成は、リージョン VNET 統合を通じてルーティングされません。 2024-11-01 より前の API バージョンでは、'vnetImagePullEnabled' と 'vnetContentShareEnabled' を true に設定します。 2024-11-01 以降では、'outboundVnetRouting.imagePullTraffic' と 'outboundVnetRouting.contentShareTraffic' を true に設定します。 Flex/Consumption プランでは使用できません。 詳細については、https://aka.ms/appservice-vnet-configuration-routing を参照してください。 | Audit、Deny、Disabled | 1.2.0 | |
| 関数アプリでエンドツーエンドの暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | Audit、Deny、Disabled | 1.1.0 |
| 既定では、リージョン Azure Virtual Network (VNET) 統合を使用する場合、アプリはそれぞれの仮想ネットワークにRFC1918トラフィックのみをルーティングします。 2024-11-01 より前のバージョンの API の場合は、"vnetRouteAllEnabled" を true に設定して、Azure Virtual Networkへのすべての送信トラフィックを有効にします。 API バージョン 2024-11-01 以降では、'outboundVnetRouting.applicationTraffic' を true に設定します。 このポリシーは、Flex Consumption または Consumption ホスティング プランで実行されていない関数アプリにのみ適用する必要があることに注意してください。 | Audit、Deny、Disabled | 1.2.0 | |
| 関数アプリで認証を有効にする必要がある | Azure App Service認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、関数アプリに到達する前にトークンを持つ要求を認証したりする機能です。 | AuditIfNotExists、Disabled | 3.1.0 |
| 関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、HTTP バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.1.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.1.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成してはならない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.1.0 |
| 関数アプリには HTTPS 経由でのみアクセスできるようにする必要がある | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査、無効、拒否 | 5.1.0 |
| 関数アプリは自動生成されたドメイン名ラベルスコープを提供する必要がある | アプリに自動生成されたドメイン名ラベル スコープを指定すると、一意の URL を使用してアプリにアクセスできるようになります。 詳細については、https://aka.ms/app-service-autoGeneratedDomainNameLabelScopeを参照してください。 | 監査、無効、拒否 | 1.1.0 |
| 関数アプリは FTPS のみを要求する必要がある | セキュリティを強化するために FTPS の強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.1.0 |
| Function アプリでは、コンテンツ ディレクトリにAzureファイル共有を使用する必要があります | 関数アプリのコンテンツ ディレクトリは、Azure ファイル共有に配置する必要があります。 ファイル共有のストレージ アカウント情報を、発行アクティビティの前に指定する必要があります。 App Service コンテンツのホストにAzure Filesを使用する方法の詳細については、https://go.microsoft.com/fwlink/?linkid=2151594を参照してください。 | Audit、Disabled | 3.1.0 |
| 関数アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.1.0 |
| 関数アプリはマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.1.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.3.0 |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Javaソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、Function アプリに最新のJava バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすJavaバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 3.1.0 | |
| セキュリティ上の欠陥のため、または追加機能を含めるために、Pythonソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するには、Function アプリに最新のPython バージョンを使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たすPythonバージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- 「Policy の効果について」を確認します。