Applies to: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット均一スケール セット ✔️
このページは、Azure 仮想マシンAzure Policy 組み込みのポリシー定義のインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Microsoft。計算
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: 仮想マシンでゲスト構成の割り当てを有効にするためにユーザー割り当てマネージド ID を追加する | このポリシーは、ゲスト構成でサポートされているAzureでホストされている仮想マシンに、ユーザー割り当てマネージド ID を追加します。 ユーザー割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
| 仮想マシン スケール セットに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview | |
| 仮想マシンに対し、組み込みのユーザー割り当てマネージド ID を作成して割り当てるか、事前に作成されたユーザー割り当てマネージド ID を割り当てます。 詳細なドキュメントについては、aka.ms/managedidentitypolicy を参照してください。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview | |
| このポリシーは、Windows Server 2019、2022、2025 コンピューター (AZURE VM と Arc 対応マシン) での SSH サーバーセキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windowsを参照してください。 | AuditIfNotExists、Disabled | 1.1.0-preview | |
| [プレビュー]: Automanage 構成プロファイルの割り当ては Conformant である必要がある | Automanage によって管理されるリソースの状態は Conformant または ConformantCorrected である必要があります。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| Azure Backupを有効にして、Managed Disksの保護を確保します。 Azure Backupは、Azureのためのセキュリティで保護されたコスト効率の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [プレビュー]: 仮想マシンでブート診断を有効にする必要がある | Azure仮想マシンでブート診断が有効になっている必要があります。 | Audit、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシンにインストールする必要がある | Linux 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能は、Windows仮想マシンにインストールする必要があります | Windows仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 仮想マシンで SQL エージェントのAzure Defenderを構成します | Azure Monitor エージェントがインストールWindows SQL エージェントのAzure Defenderを自動的にインストールするようにマシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとLog Analyticsワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Azure ディスク (Managed Disks) のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して指定されたタグで構成します | 特定のタグを含むすべてのAzure ディスク (Managed Disks) のバックアップを中央バックアップ コンテナーに適用します。 詳細については、https://aka.ms/AB-DiskBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: 同じリージョン内の既存のバックアップ コンテナーに特定のタグを付けずに、Azure ディスク (Managed Disks) のバックアップを構成します | 中央バックアップ コンテナーに特定のタグが含まれていないすべてのAzure ディスク (Managed Disks) に対してバックアップを適用します。 詳細については、https://aka.ms/AB-DiskBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| このポリシーでは、Windows Server 2019、2022、2025 マシン (AZURE VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windowsを参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview | |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する | サポートされている Linux 仮想マシン スケール セットを構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 6.1.0-preview |
| [プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、Disabled | 5.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する | サポートされている Linux 仮想マシンを構成してゲスト構成証明拡張機能を自動的にインストールし、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシン スケール セットを構成します | ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシン スケール セットを構成して、Azure Security Centerが起動の整合性を事前に構成および監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 4.1.0-preview |
| [プレビュー]: セキュア ブートを自動的に有効にするようにサポートされているWindows仮想マシンを構成します | セキュア ブートを自動的に有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減するように、サポートされているWindows仮想マシンを構成します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能を自動的にインストールするようにサポートされているWindows仮想マシンを構成します | ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシンを構成して、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: VM でAzure Monitor割り当てを有効にするようにシステム割り当てマネージド ID を構成します | Azure Monitorでサポートされ、システム割り当てマネージド ID がないAzureでホストされている仮想マシンに対して、システム割り当てマネージド ID を構成します。 システム割り当てマネージド ID は、すべてのAzure Monitor割り当ての前提条件であり、Azure Monitor拡張機能を使用する前にマシンに追加する必要があります。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | Modify、Disabled | 6.2.0-preview |
| [プレビュー]: Shared Image Gallery イメージで作成された VM を構成して、ゲスト構成証明拡張機能をインストールします | Shared Image Gallery イメージで作成された仮想マシンを構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に構成および監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: Shared Image Gallery イメージで作成された VMSS を構成して、ゲスト構成証明拡張機能をインストールします | Shared Image Gallery イメージで作成された VMSS を構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| Windows Serverでローカル ユーザーの無効化を構成するゲスト構成の割り当てを作成します。 これにより、Windows サーバーは、AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧からのみアクセスでき、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.3.0-preview | |
| [プレビュー]: Linux 仮想マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | 該当する Linux VM イメージMicrosoft Defender for Endpointエージェントをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: Windows仮想マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | 該当するWindows VM イメージにMicrosoft Defender for Endpointをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: SQL VM に対してシステム割り当て ID を有効にする | SQL 仮想マシンに対してシステム割り当て ID を大規模に有効にします。 サブスクリプション レベルでこのポリシーを割り当てる必要があります。 リソース グループ レベルで割り当てると、想定どおりに機能しません。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | サポートされている Linux 仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | サポートされている Linux 仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能は、サポートされているWindows仮想マシンにインストールする必要があります | サポートされている仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能は、サポートされているWindows仮想マシン スケール セットにインストールする必要があります | サポートされている仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [プレビュー]: Linux マシンは、Docker ホストのAzure セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Docker ホストのAzure セキュリティ ベースラインの推奨事項のいずれかに対して、マシンが正しく構成されていません。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Linux マシンは、Azure コンピューティングの STIG コンプライアンス要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンが STIG コンプライアンス要件の推奨事項の 1 つに対して正しく構成されていない場合、コンピューター Azure準拠していません。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: OMI がインストールされている Linux マシンには、バージョン 1.6.8-1 以降が必要である | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux 用 OMI パッケージのバージョン 1.6.8-1 に含まれているセキュリティ修正プログラムのため、すべてのマシンを最新リリースに更新する必要があります。 問題を解決するには、OMI を使用するアプリ/パッケージをアップグレードします。 詳細については、「https://aka.ms/omiguidance」を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloudは、1 つ以上の Linux マシンで信頼されていない OS ブート コンポーネントを特定しました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Linux 仮想マシンではセキュア ブートを使用する必要がある | マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Linux ワークロードは公式の CIS セキュリティ ベンチマークに準拠する必要がある | このポリシーでは、監査目的で CIS セキュリティ ベンチマークをカスタマイズし、Azure、オンプレミス、ハイブリッド環境全体の Linux ワークロードにデプロイする機能を提供します。 CIS セキュリティ ベンチマークの内容は、 https://cisecurity.orgで公開されているベンチマークと同等です。ポリシーは azure-osconfig によって提供されます。 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要がある | Azureの利用規約は、Microsoftサーバーまたはネットワークに損害を与えたり、無効にしたり、過剰に負担したり、損なったりする可能性のある方法でAzureサービスを使用することを禁止します。 このレコメンデーションによって識別される公開ポートは、継続的なセキュリティのために閉じる必要があります。 特定されたポートごとに、レコメンデーションでは潜在的な脅威の説明も示します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| Managed Disksは、ゾーンアライン、ゾーン冗長、またはどちらも構成できません。 ゾーン割り当てが 1 つだけのManaged Disksは、[ゾーンアライン] です。 ZRS で終わる SKU 名を持つManaged Disksはゾーン冗長です。 このポリシーは、Managed Disksのこれらの回復性構成を特定して適用するのに役立つ。 | Audit、Deny、Disabled | 1.0.0-preview | |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では、Microsoft Dependency Agent を使用してAzure仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントは、Windows仮想マシンにインストールする必要があります | Security Center では、Microsoft Dependency Agent を使用してAzure仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| このポリシーを使用すると、監査目的で CIS セキュリティ ベンチマークをカスタマイズし、Azure、オンプレミス、ハイブリッド環境全体のWindows Serverに展開できます。 CIS セキュリティ ベンチマークの内容は、 https://cisecurity.orgで公開されているベンチマークと同等です。前提条件がポリシー割り当てスコープに展開されている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [プレビュー]: サポートされているWindows仮想マシンでセキュア ブートを有効にする必要があります | サポートされているWindows仮想マシンでセキュア ブートを有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 | Audit、Disabled | 4.0.0-preview |
| Virtual Machine Scale Setsは、ゾーンアライン、ゾーン冗長、またはどちらも構成できません。 ゾーン配列にエントリが 1 つだけ含まれるVirtual Machine Scale Setsは、Zone Aligned と見なされます。 これに対し、ゾーン配列に 3 つ以上のエントリがあり、少なくとも 3 つの容量を持つVirtual Machine Scale Setsはゾーン冗長として認識されます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview | |
| [プレビュー]: 2 つを超える可用性ゾーンを持つVirtual Machine Scale Setsは、自動 AZ 再調整を有効にする必要があります | このポリシーにより、ゾーンの回復性がないVirtual Machine Scale Setsに対して AZ の自動再調整が有効になります。 ゾーンの自動再調整は、Virtual Machine Scale Setsがリージョン内のゾーン全体に均等に分散されるようにするのに役立ちます。 | Modify、Disabled | 1.0.0-preview |
| [プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある | ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| Virtual Machinesは、ゾーンアラインメントされるように構成できます。 ゾーン配列にエントリが 1 つしかない場合は、ゾーン アラインと見なされます。 このポリシーを使用すると、単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview | |
| [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | Audit、Disabled | 2.0.0-preview |
| [プレビュー]: Windowsマシンは、Azure コンピューティングの STIG コンプライアンス要件を満たす必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンが STIG のコンピューティングのコンプライアンス要件の推奨事項の 1 つに対して正しく構成されていない場合、マシンは非準拠Azure。 DISA (米国国防情報システム局) では、米国国防総省 (DoD) の要請に応じてコンピューティング OS をセキュリティで保護するためのテクニカル ガイド STIG (セキュリティ技術導入ガイド) を提供しています。 詳細については、https://public.cyber.mil/stigs/ を参照してください。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Centerの Standard 価格レベルには、追加コストなしで仮想マシンの脆弱性スキャンが含まれます。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーは、ゲスト構成でサポートされているがマネージド ID を持たないAzureでホストされている仮想マシンに、システム割り当てマネージド ID を追加します。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | modify | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーは、ゲスト構成でサポートされ、少なくとも 1 つのユーザー割り当て ID を持ち、システム割り当てマネージド ID を持たない、Azureでホストされている仮想マシンにシステム割り当てマネージド ID を追加します。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | modify | 4.1.0 |
| ネットワーク仮想アプライアンス (NVA) VM と、MANA サポート用の VMSS にタグを追加します | NVA が既存の VM サイズを使用している場合に、Marketplace NVA デプロイのタグを適用します。 https://aka.ms/manasupportforexistingvmfamilynvaを参照してください。 | Modify、Disabled | 1.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Centerでは、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎていることが確認されています。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 許可されている仮想マシン サイズ SKU | このポリシーでは、組織でデプロイできる仮想マシン サイズ SKU のセットを指定できます。 | Deny | 1.0.1 |
| WINDOWS SQL 仮想マシンにシステム割り当て ID を大規模に割り当てます。 | DeployIfNotExists、Disabled | 1.0.0 | |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 指定されたアプリケーションがインストールされていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていないことが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 指定されたアプリケーションがインストールされている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パラメーターによって指定した 1 つ以上のパッケージがインストールされていることが Chef InSpec リソースによって示されている場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 4.2.0 |
| Linux の SSH セキュリティ態勢の監査 (powered by OSConfig) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) 上の SSH サーバー セキュリティ構成を監査します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
| Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
| Administrators グループ内の指定されたメンバーのいずれかが存在しないマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| Audit Windows マシンのネットワーク接続 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 IP と TCP ポートに対するネットワーク接続の状態がポリシー パラメーターと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| DSC 構成が準拠していないコンピューター Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-DSCConfigurationStatus コンピューターの DSC 構成が準拠していないと返された場合、マシンは非準拠です。 | auditIfNotExists | 3.0.0 |
| Log Analytics エージェントが正常に接続されていないコンピューター Windowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 エージェントがインストールされていない場合、またはインストールされてはいても、ポリシー パラメーターで指定した ID 以外のワークスペースに登録されていることが COM オブジェクト AgentConfigManager.MgmtSvcCfg から返される場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定したサービス Windowsがインストールされていないコンピューターと 'Running' | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンドの結果 Get-Service ポリシー パラメーターで指定された状態と一致するサービス名が含まれていない場合、マシンは非準拠です。 | auditIfNotExists | 3.0.0 |
| シリアル コンソールが有効になっていないコンピューター Windows Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンにシリアル コンソール ソフトウェアがインストールされていない場合、あるいは EMS ポート番号またはボー レートがポリシー パラメーターと同じ値で構成されていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可するマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定した数の一意のパスワードの後にパスワードの再利用を許可するマシンWindows場合、マシンは非準拠です。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| 指定されたドメインに参加していないマシンWindowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス win32_computersystem の Domain プロパティの値がポリシー パラメーターの値と一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定したタイム ゾーンに設定されていないマシンWindowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 WMI クラス Win32_TimeZone の StandardName プロパティの値が、ポリシー パラメーターで選択されたタイム ゾーンと一致しない場合、マシンは非準拠となります。 | auditIfNotExists | 4.0.0 |
| 指定した日数以内に期限切れになる証明書を含むコンピューター Windowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
| 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 マシンの信頼されたルート証明書ストア (Cert:\LocalMachine\Root) に、ポリシー パラメーターによって指定した 1 つ以上の証明書が含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 3.0.0 | |
| パスワードの最大有効期間が指定された日数に設定されていないマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最大有効期間が指定した日数に設定されていないマシンWindows場合、マシンは非準拠です。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最小有効期間が指定された日数に設定されていないマシンWindowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最小有効期間が指定した日数に設定されていないマシンWindows場合、マシンは非準拠です。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの複雑さの設定が有効になっていないコンピューターをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていないコンピューター Windows場合、マシンは非準拠です | AuditIfNotExists、Disabled | 2.0.0 |
| 指定された powerShell 実行ポリシーを持たないマシンWindows Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows PowerShell コマンド Get-ExecutionPolicy がポリシー パラメーターで選択された値以外の値を返す場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
| 指定した Windows Windows PowerShell モジュールがインストールされていないコンピューター | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 モジュールが、環境変数 PSModulePath によって指定された場所で使用できない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 3.0.0 |
| パスワードの最小文字数を指定した文字数に制限しないコンピューターをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの最小長を指定した文字数に制限しないマシンWindows場合、マシンは非準拠です。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターは、元に戻せる暗号化を使用してパスワードを格納しないコンピューター Windows場合は非準拠です | AuditIfNotExists、Disabled | 2.0.0 | |
| 指定したアプリケーションがインストールされていないコンピューター Windows監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\ のいずれかのレジストリ パスにアプリケーション名が見つからない場合、マシンは準拠していません。CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| Administrators グループに追加のアカウントを持つマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されていないメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| Audit Windows指定した日数以内に再起動されていないマシン | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 クラス Win32_Operatingsystem の WMI プロパティ LastBootUpTime が、ポリシー パラメーターで指定された日数の範囲外であった場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 指定したアプリケーションがインストールされているコンピューター Windowsを監査します | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 アプリケーション名が HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\ のいずれかのレジストリ パスにある場合、マシンは準拠していません。CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| Administrators グループに指定されたメンバーを持つマシンをWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| 再起動が保留中の VM をWindowsします | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターの再起動が保留中の場合、コンポーネント ベースのサービス、Windows Update、保留中のファイル名の変更、保留中のコンピューター名変更、構成マネージャーの再起動が保留中の場合、マシンは非準拠です。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 SSH 経由で Azure Linux 仮想マシンに対して認証するための最も安全なオプションは、公開キーと秘密キーのペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Azure Backupを有効にして、Azure 仮想マシンの保護を確保します。 Azure Backupは、Azureのためのセキュリティで保護されたコスト効率の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 | |
| ChangeTracking 拡張機能を Linux 仮想マシン スケール セットにインストールする必要がある | Linux 仮想マシン スケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.1 |
| ChangeTracking 拡張機能は、Windows仮想マシン スケール セットにインストールする必要があります | Windows仮想マシン スケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイルの整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.1 |
| Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある | OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある | 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーでは、選択したスコープ (サブスクリプションまたはリソース グループ) 内のすべてのリソース (VM、VMSS、ARC マシン) に対するサーバー プランのDefenderが無効になります。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 選択したタグを持つリソース (リソース レベル) で無効にするサーバーのAzure Defenderを構成します | Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーでは、選択したタグ名とタグ値を持つすべてのリソース (VM、VMSS、ARC マシン) のサーバー プランのDefenderが無効になります。 | DeployIfNotExists、Disabled | 1.1.0 |
| 選択したタグを持つすべてのリソース (リソース レベル) に対して有効にするサーバーのAzure Defender ('P1' サブプラン) を構成します | Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーでは、選択したタグ名とタグ値を持つすべてのリソース (VM と ARC マシン) に対して、サーバー プラン ('P1' サブプランを使用) のDefenderが有効になります。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 このポリシーにより、選択したスコープ (サブスクリプションまたはリソース グループ) 内のすべてのリソース (VM と ARC マシン) に対して、サーバープランのDefender ("P1" サブプランを使用) が有効になります。 | DeployIfNotExists、Disabled | 1.1.0 | |
| 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| Linux 仮想マシン スケール セットの ChangeTracking 拡張機能を構成する | Azure Security Centerでファイルの整合性の監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシン スケール セットを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、Disabled | 2.1.0 |
| Linux 仮想マシンの ChangeTracking 拡張機能を構成する | Azure Security Centerでファイルの整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシンを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、Disabled | 2.2.0 |
| 仮想マシン スケール セットの ChangeTracking 拡張機能Windows構成します | ChangeTracking 拡張機能Windows自動的にインストールされるように仮想マシン スケール セットを構成し、Azure Security Centerでファイルの整合性の監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、Disabled | 2.1.0 |
| Windows 仮想マシン用の ChangeTracking 拡張機能の構成 | Windowsでファイル整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように仮想マシンを構成Azure Security Center。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、Disabled | 2.2.0 |
| ディザスター リカバリー構成のない仮想マシンは、障害やその他の中断に対して脆弱です。 仮想マシンでディザスター リカバリーがまだ構成されていない場合は、事前設定された構成を使用してレプリケーションを有効にすることで同じことが開始され、ビジネス継続性が促進されます。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含める/除外することができます。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | DeployIfNotExists、Disabled | 2.1.1 | |
| プライベート エンドポイントを使用してディスク アクセス リソースを構成する | プライベート エンドポイントは、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続します。 プライベート エンドポイントをディスク アクセス リソースにマッピングすることにより、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Linux マシンを構成してデータ収集ルールまたはデータ収集エンドポイントと関連付ける | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン、仮想マシン スケール セット、および Arc マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 6.8.0 |
| ローカル ユーザーを無効にするように Linux サーバーを構成する。 | Linux サーバーでローカル ユーザーの無効化を構成するゲスト構成割り当てを作成します。 これにより、Linux サーバーは、AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧からのみアクセスできるため、全体的なセキュリティ体制が向上します。 | DeployIfNotExists、Disabled | 1.4.0-preview |
| データ収集規則またはデータ収集エンドポイントに関連付ける Linux Virtual Machine Scale Setsを構成します | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシン スケール セットをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.7.0 |
| システム割り当てマネージド ID ベースの認証Azure Monitorエージェントを実行するための Linux 仮想マシン スケール セットの構成 | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.10.0 |
| ユーザー割り当てマネージド ID ベースの認証Azure Monitorエージェントを実行するための Linux 仮想マシン スケール セットの構成 | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシン スケール セットへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.11.0 |
| ChangeTracking と Inventory のデータ収集規則に関連付ける Linux Virtual Machinesを構成します | 指定したデータ収集ルールに Linux 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.2.0 |
| データ収集規則またはデータ収集エンドポイントに関連付ける Linux Virtual Machinesを構成します | 関連付けをデプロイして、指定したデータ収集ルールまたは指定したデータ収集エンドポイントに Linux 仮想マシンをリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.7.0 |
| システム割り当てマネージド ID ベースの認証Azure Monitorエージェントを実行するための Linux 仮想マシンの構成 | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンに Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.10.0 |
| ユーザー割り当てマネージド ID ベースの認証Azure Monitorエージェントを実行するための Linux 仮想マシンの構成 | ゲスト OS からテレメトリ データを収集するために、Linux 仮想マシンに Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.14.0 |
| ユーザー割り当てマネージド ID を使用して ChangeTracking とインベントリ用に AMA をインストールするように Linux VM を構成する | ChangeTracking と Inventory を有効にするために、Linux 仮想マシンへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.7.0 |
| ChangeTracking とインベントリのデータ収集規則に関連付ける Linux VMSS を構成する | 指定したデータ収集ルールに Linux 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| ユーザー割り当てマネージド ID を使用して ChangeTracking とインベントリ用の AMA をインストールするように Linux VMSS を構成する | ChangeTracking と Inventory を有効にするために、Linux 仮想マシン スケール セットへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.5.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defenderには、追加料金なしでコンピューターの脆弱性スキャンが含まれます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defenderによって Qualys 脆弱性評価プロバイダーが、まだインストールされていないサポートされているすべてのマシンに自動的に展開されます。 | DeployIfNotExists、Disabled | 4.0.0 |
| パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する | マネージド ディスク リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Modify、Disabled | 2.0.0 |
| Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する | ネイティブ Azure仮想マシン上の OS 更新プログラムの自動評価 (24 時間ごと) を構成します。 割り当てのスコープは、マシンのサブスクリプション、リソース グループ、場所、タグに応じて制御できます。 Windowsの詳細については、linux の https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode。 | modify | 4.10.0 |
| Windows マシンでのセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) の構成 | 指定したセキュリティで保護されたプロトコル バージョン (TLS 1.1 または TLS 1.2) Windowsコンピューター上に構成するゲスト構成の割り当てを作成します。 | DeployIfNotExists、Disabled | 1.1.0 |
| Azure Monitor エージェントを自動的にインストールするための SQL Virtual Machinesの構成 | Windows SQL Virtual MachinesでのAzure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.6.0 |
| SQL 拡張機能Windows Microsoft Defenderを自動的にインストールするように SQL Virtual Machinesを構成します。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.6.0 | |
| LOG ANALYTICS ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループ、データ収集規則、Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.9.0 |
| ユーザー定義の LA ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.10.0 |
| SQL 拡張機能のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 | SQL 拡張機能Windows Microsoft Defenderを自動的にインストールするように SQL Virtual Machinesを構成します。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Linux の SSH セキュリティ態勢を設定 (powered by OSConfig) | このポリシーは、Linux マシン (Azure VM と Arc 対応マシン) で SSH サーバーのセキュリティ構成を監査および構成します。 前提条件、スコープ内の設定、既定値、カスタマイズなどの詳細については、https://aka.ms/SshPostureControlOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| このポリシーでは、ゲスト構成の割り当てを作成して、Windows仮想マシンに指定されたタイム ゾーンを設定します。 | deployIfNotExists | 3.1.0 | |
| Azure Automanageは、microsoft クラウド導入フレームワーク for Azure で定義されているベスト プラクティスを使用して仮想マシンを登録、構成、監視します。 このポリシーを使用して、選択したスコープに自動管理を適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 | |
| カスタム構成プロファイルを使用してAzure Automanageにオンボードする仮想マシンを構成する | Azure Automanageは、microsoft クラウド導入フレームワーク for Azure で定義されているベスト プラクティスを使用して仮想マシンを登録、構成、監視します。 このポリシーを使用して、カスタマイズされた独自の構成プロファイルを持つ Automanage を、選択したスコープに適用します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| データ収集規則またはデータ収集エンドポイントに関連付けるコンピューター Windows構成します | 関連付けをデプロイして、Windows仮想マシン、仮想マシン スケール セット、および Arc マシンを、指定したデータ収集ルールまたは指定したデータ収集エンドポイントにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 4.8.0 |
| データ収集規則またはデータ収集エンドポイントに関連付ける構成Windows Virtual Machine Scale Sets | 関連付けをデプロイWindows仮想マシン スケール セットを、指定したデータ収集規則または指定したデータ収集エンドポイントにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.7.0 |
| 仮想マシン スケール セットWindows構成し、システム割り当てマネージド ID を使用してAzure Monitor エージェントを実行します | ゲスト OS からテレメトリ データを収集するために、Windows仮想マシン スケール セットへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 3.7.0 |
| ユーザー割り当てマネージド ID ベースの認証Windows Azure Monitor エージェントを実行するための仮想マシン スケール セットの構成 | ゲスト OS からテレメトリ データを収集するために、Windows仮想マシン スケール セットへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.9.0 |
| ChangeTracking と Inventory のデータ収集規則に関連付ける構成Windows Virtual Machines | 関連付けを展開して、Windows仮想マシンを指定されたデータ収集ルールにリンクし、ChangeTracking とインベントリを有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.3.0 |
| データ収集規則またはデータ収集エンドポイントに関連付ける構成Windows Virtual Machines | 関連付けをデプロイして、Windows仮想マシンを、指定したデータ収集規則または指定したデータ収集エンドポイントにリンクします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 3.6.0 |
| システム割り当てマネージド ID を使用してAzure Monitor エージェントを実行する仮想マシンWindows構成します | ゲスト OS からテレメトリ データを収集するために、Windows仮想マシンに Azure Monitor Agent 拡張機能をデプロイする作業を自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 4.7.0 |
| 仮想マシンWindows構成して、ユーザー割り当てマネージド ID ベースの認証を使用して Azure Monitor エージェントを実行します | ゲスト OS からテレメトリ データを収集するために、Windows仮想マシンに Azure Monitor Agent 拡張機能をデプロイする作業を自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.9.0 |
| Windowsユーザー割り当てマネージド ID を使用して AMA for ChangeTracking とインベントリをインストールするための VM の構成 | ChangeTracking とインベントリを有効にするために、Windows仮想マシンへの Azure Monitor Agent 拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0 |
| ChangeTracking と Inventory のデータ収集ルールに関連付ける VMSS Windows構成します | 関連付けをデプロイして、仮想マシン スケール セットWindows指定されたデータ収集規則にリンクし、ChangeTracking とインベントリを有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.2.0 |
| ユーザー割り当てマネージド ID を使用して ChangeTracking とインベントリ用の AMA をインストールするための VMSS Windows構成します | ChangeTracking と Inventory を有効にするために、Windows仮想マシン スケール セットにAzure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0 |
| 組み込みのユーザー割り当てマネージド ID を作成して割り当てる | 組み込みのユーザー割り当てマネージド ID の作成と SQL 仮想マシンへの割り当てを大規模に行います。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.8.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 仮想マシン イメージが定義されている一覧にあり、エージェントがインストールされていない場合は、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.1.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 仮想マシン イメージが定義された一覧にあり、エージェントがインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.1.0 |
| Deploy - Windows仮想マシン スケール セットで依存関係エージェントを有効にするように構成します | 仮想マシン イメージが定義されている一覧にあり、エージェントがインストールされていない場合は、Windows仮想マシン スケール セットに Dependency Agent をデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 3.3.0 |
| Deploy - Windows仮想マシンで依存関係エージェントを有効にするように構成します | 仮想マシン イメージが定義された一覧にあり、エージェントがインストールされていない場合は、Windows仮想マシンに Dependency Agent をデプロイします。 | DeployIfNotExists、Disabled | 3.3.0 |
| このポリシーは、VM がマルウェア対策拡張機能で構成されていない場合に、既定の構成で Microsoft IaaSAntimalware 拡張機能をデプロイします。 | deployIfNotExists | 1.1.0 | |
| Linux Virtual Machine Scale Sets 用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux Virtual Machine Scale Sets 用にエージェントをデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | deployIfNotExists | 5.1.0 |
| Azure Monitoring Agent 設定を使用して Linux 仮想マシン スケール セットの Dependency Agent をデプロイします | VM イメージ (OS) が定義された一覧にあり、エージェントがインストールされていない場合は、Azure Monitoring Agent 設定を使用して Linux 仮想マシン スケール セットの Dependency Agent をデプロイします。 注: お使いのスケール セット upgradePolicy が手動に設定されている場合、セット内のすべての仮想マシンでアップグレードを呼び出して拡張機能を適用することが必要になります。 CLI では、これは az vmss update-instances になります。 | DeployIfNotExists、Disabled | 3.2.0 |
| Linux 仮想マシン用の Dependency Agent のデプロイ | 定義された一覧に VM イメージ (OS) があり、Dependency Agent がインストールされていない場合は、Linux 仮想マシン用にエージェントをデプロイします。 | deployIfNotExists | 5.1.0 |
| Azure Monitoring Agent の設定を使用して Linux 仮想マシンの依存関係エージェントをデプロイします | VM イメージ (OS) が定義された一覧にあり、エージェントがインストールされていない場合は、Azure監視エージェントの設定を使用して Linux 仮想マシンの依存関係エージェントをデプロイします。 | DeployIfNotExists、Disabled | 3.2.0 |
| 監視エージェントの設定を使用して仮想マシン スケール セットWindows有効にする依存関係エージェントAzure展開します | 仮想マシン イメージが定義された一覧にあり、エージェントがインストールされていない場合は、Azure Monitoring Agent の設定を使用して、Windows仮想マシン スケール セットに Dependency Agent をデプロイします。 お使いのスケール セット upgradePolicy が手動に設定されている場合、そのセット内のすべての仮想マシンを更新して拡張機能を適用する必要があります。 | DeployIfNotExists、Disabled | 1.4.0 |
| 監視エージェントの設定を使用してWindows仮想マシンで有効にする依存関係エージェントをデプロイ Azureします | 仮想マシン イメージが定義された一覧に含まれており、エージェントがインストールされていない場合は、Azure Monitoring Agent 設定を使用して、Windows仮想マシンに Dependency Agent をデプロイします。 | DeployIfNotExists、Disabled | 1.4.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーは、ゲスト構成でサポートされているAzureでホストされている Linux 仮想マシンに Linux ゲスト構成拡張機能をデプロイします。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.2.0 |
| Windows ゲスト構成拡張機能をデプロイして、Windows VM でゲスト構成の割り当てを有効にします | このポリシーは、ゲスト構成でサポートされているAzureでホストされている仮想マシンWindows Windowsゲスト構成拡張機能をデプロイします。 Windows ゲスト構成拡張機能は、Windowsゲスト構成のすべての割り当ての前提条件であり、Windowsゲスト構成ポリシー定義を使用する前にマシンに展開する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.3.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ディスクと OS イメージで TrustedLaunch をサポートする必要があります | TrustedLaunch は、OS ディスクと OS イメージを必要とする仮想マシンのセキュリティを向上させます(Gen 2)。 TrustedLaunch の詳細については、https://aka.ms/trustedlaunch にアクセスします | Audit、Disabled | 1.0.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールすると、"Windows Exploit guard を有効にする必要があります" などのゲスト内ポリシーが使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| Windows Server Azure Edition VM に対してHotpatch を有効にする必要があります | ホットパッチを使用して、再起動を最小限に抑え、更新プログラムをすばやくインストールします。 詳細については、https://docs.microsoft.com/azure/automanage/automanage-hotpatch を参照してください | Audit、Deny、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Linux マシンは、Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 2.3.1 |
| Linux マシンには、許可されているローカル アカウントのみを指定する必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Active Directoryを使用してユーザー アカウントを管理することは、ID を管理するためのベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| Linux 仮想マシン スケール セットには、Azure Monitor エージェントがインストールされている必要があります | Linux 仮想マシン スケール セットは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティ保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシン スケール セットを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.6.0 |
| 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 修復するには、Azure Disk Encryptionまたは EncryptionAtHost を使用します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.1 | |
| Linux 仮想マシンには、Azure Monitor エージェントがインストールされている必要があります | Linux 仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティ保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 このポリシーは、サポートされているリージョンでサポートされている OS イメージを持つ仮想マシンを監査します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.6.0 |
| Linux マシンでローカル認証方法を無効にする必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Linux サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Linux サーバーが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧によってのみアクセスできることを検証し、全体的なセキュリティ体制を改善するためです。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| Windows サーバーでローカル認証方法を無効にする必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows サーバーでローカル認証方法が無効になっていない場合、マシンは非準拠です。 これは、Windows サーバーが AAD (Azure Active Directory) アカウントまたはこのポリシーによって明示的に許可されたユーザーの一覧によってのみアクセスできることを検証し、全体的なセキュリティ体制を改善するためです。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| Log Analytics エージェントは、Cloud Services (延長サポート) ロール インスタンスにインストールする必要があります | Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 | AuditIfNotExists、Disabled | 2.0.0 |
| 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 Windowsの AssessmentMode プロパティの詳細については、linux の https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.9.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
| マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | Audit、Deny、Disabled | 2.1.0 |
| マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 2.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワーク Just-In-Time (JIT) アクセスは、推奨事項としてAzure Security Centerによって監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft Azureのマルウェア対策は、保護署名を自動的に更新するように構成する必要があります | このポリシーは、Microsoftマルウェア対策署名の自動更新で構成されていないWindows仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 拡張機能は、Windows サーバーに展開する必要があります | このポリシーは、IaaSAntimalware 拡張機能MicrosoftデプロイされていないWindows サーバー VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
| OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 3.0.0 |
| ゲスト構成の割り当てのプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、仮想マシンのゲスト構成へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 "EnablePrivateNetworkGC" タグが割り当てられていない仮想マシンはコンプライアンス違反となります。 このタグは、Virtual Machinesのゲスト構成へのプライベート接続を介してセキュリティで保護された通信を強制します。 プライベート接続では、既知のネットワークからのトラフィックへのアクセスが制限され、Azure内を含む他のすべての IP アドレスからのアクセスが禁止されます。 | Audit、Deny、Disabled | 1.1.0 |
| ディスクまたはスナップショットにエクスポートまたはアップロードするときに、認証要件を使用してデータを保護します。 | エクスポート/アップロード URL を使用すると、ユーザーがAzure Active Directoryに ID を持ち、データのエクスポート/アップロードに必要なアクセス許可を持っているかどうかがシステムによって確認されます。 aka.ms/DisksAzureADAuth を参照してください。 | Modify、Disabled | 1.0.0 |
| このポリシーでは、Virtual Machine Scale Setsで OS イメージの自動修正プログラムの適用を有効にして、毎月最新のセキュリティ パッチを安全に適用することで、常にVirtual Machinesのセキュリティを維持します。 | deny | 1.0.0 | |
| AzureのAzure Update Managerを使用すると、定期的な展開スケジュールを保存して、Azure、オンプレミス環境、およびAzure Arc対応サーバーを使用して接続されている他のクラウド環境に、Windows Serverおよび Linux マシンのオペレーティング システム更新プログラムをインストールできます。 このポリシーでは、Azure仮想マシンのパッチ モードも "AutomaticByPlatform" に変更されます。 詳細情報: https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.14.0 | |
| 仮想マシンで定期的な更新をスケジュールするための前提条件Azure設定します。 | このポリシーでは、パッチ オーケストレーションを "カスタマー マネージド スケジュール" に構成することで、Azure Update Managerで定期的な更新をスケジュールするために必要な前提条件を設定します。 この変更により、パッチ モードが自動的に 'AutomaticByPlatform' に設定され、Azure VM で 'BypassPlatformSafetyChecksOnUserSchedule' が 'True' に設定されます。 前提条件は、Arc 対応サーバーには適用されません。 詳細情報 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists、Disabled | 1.3.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.1 |
| レガシ Log Analytics拡張機能は Linux 仮想マシン スケール セットにインストールしないでください | レガシ エージェントから Azure Monitor エージェントへの移行の最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に防止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシン スケール セットでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics拡張機能は Linux 仮想マシンにインストールしないでください | レガシ エージェントから Azure Monitor エージェントへの移行の最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に防止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーによって、Linux 仮想マシンでのレガシ エージェント拡張機能の今後のインストールがすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics拡張機能は、仮想マシン スケール セットにインストールしないでください | レガシ エージェントから Azure Monitor エージェントへの移行の最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に防止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーでは、仮想マシン スケール セットへのレガシ エージェント拡張機能の今後のインストールWindowsすべて拒否されます。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| レガシ Log Analytics拡張機能は仮想マシンにインストールしないでください | レガシ エージェントから Azure Monitor エージェントへの移行の最後の手順として、レガシ Log Analytics エージェントのインストールを自動的に防止します。 既存のレガシ拡張機能をアンインストールした後、このポリシーは、Windows仮想マシンへのレガシ エージェント拡張機能の今後のインストールをすべて拒否します。 詳細情報: https://aka.ms/migratetoAMA | Deny、Audit、Disabled | 1.0.0 |
| 仮想マシンで TrustedLaunch を有効にする必要があります | 仮想マシンで TrustedLaunch を有効にしてセキュリティを強化します。TrustedLaunch をサポートする VM SKU (Gen 2) を使用します。 TrustedLaunch の詳細については、https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch にアクセスします | Audit、Disabled | 1.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンは新しいAzure Resource Manager リソースに移行する必要があります | 仮想マシンの新しいAzure Resource Managerを使用して、より強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureなどのセキュリティ強化を提供します。セキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内のAzure仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がない場合は非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
| Windows Defender Exploit Guard をマシンで有効にする必要があります | Exploit Guard Windows Defenderは、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃で一般的に使用される動作をブロックするように設計された 4 つのコンポーネントがあり、企業はセキュリティ リスクと生産性の要件のバランスを取ることができます (Windowsのみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windowsコンピューターは、セキュリティで保護された通信プロトコルを使用するように構成する必要があります | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windowsマシンは、1 日以内に保護署名を更新するようにWindows Defenderを構成する必要があります | 新しくリリースされたマルウェアに対して適切な保護を提供するには、Windows Defender保護署名を定期的に更新して、新しくリリースされたマルウェアを考慮する必要があります。 このポリシーは Arc 接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windowsマシンはリアルタイム保護Windows Defender有効にする必要があります | Windowsマシンでは、Windows Defenderのリアルタイム保護を有効にして、新しくリリースされたマルウェアに対する適切な保護を提供する必要があります。 このポリシーは Arc 接続されているサーバーには適用できず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイ済みであることを必要とします。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windowsマシンは、入力のパーソナル化とロック画面の有効化を防止するために、カテゴリ "管理用テンプレート - コントロール パネル" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、自動ログオン、スクリーン セーバー、ネットワーク動作、安全な DLL、およびイベント ログのカテゴリ "管理用テンプレート - MSS (レガシ)" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ゲスト ログオン、同時接続、ネットワーク ブリッジ、ICS、マルチキャスト名前解決のカテゴリ [管理用テンプレート - ネットワーク] に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、管理エクスペリエンスとリモート アシスタンスを制御する設定のカテゴリ "管理用テンプレート - システム" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、空のパスワードとゲスト アカウントの状態のローカル アカウントの使用を制限するために、カテゴリ "セキュリティ オプション - アカウント" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、監査ポリシー サブカテゴリを強制し、セキュリティ監査をログに記録できない場合にシャットダウンするための、カテゴリ "セキュリティ オプション - 監査" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ログオン、印刷ドライバーのインストール、メディアの書式設定/取り出しを行わずにドッキングを解除するために、カテゴリ "セキュリティ オプション - デバイス" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、最後のユーザー名を表示し、ctrl キーを押しながら alt キーを押しながら del キーを押す必要がある場合は、カテゴリ "セキュリティ オプション - 対話型ログオン" にグループ ポリシー設定を指定する必要があります。このポリシーでは、ゲスト構成の前提条件がポリシー割り当てスコープに展開されている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ネットワーク クライアント/サーバーと SMB v1 のカテゴリ "セキュリティ オプション - Microsoft ネットワーク クライアント" に指定されたグループ ポリシー設定Microsoft必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンは、SMB v1 サーバーを無効にするためのカテゴリ "セキュリティ オプション - Microsoft ネットワーク サーバー" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、匿名ユーザー、ローカル アカウント、レジストリへのリモート アクセスを含めるために、カテゴリ "セキュリティ オプション - ネットワーク アクセス" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、ローカル システムの動作、PKU2U、LAN マネージャー、LDAP クライアント、NTLM SSP など、カテゴリ "セキュリティ オプション - ネットワーク セキュリティ" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、フロッピー コピーとすべてのドライブとフォルダーへのアクセスを許可するために、カテゴリ "セキュリティ オプション - 回復コンソール" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンは、ログオンせずにシャットダウンを許可し、仮想メモリのページファイルをクリアするために、カテゴリ "セキュリティ オプション - シャットダウン" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、非Windows サブシステムと内部システム オブジェクトのアクセス許可に対する不注意の場合は、カテゴリ "セキュリティ オプション - システム オブジェクト" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、SRP およびオプション のサブシステムの実行可能ファイルに対する証明書規則のカテゴリ "セキュリティ オプション - システム設定" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、管理者向けのモード、昇格プロンプトの動作、ファイルとレジストリの書き込みエラーの仮想化に関するカテゴリ [セキュリティ オプション - ユーザー アカウント制御] に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、パスワード履歴、年齢、長さ、複雑さ、および元に戻せる暗号化を使用したパスワードの格納に関するカテゴリ "セキュリティ設定 - アカウント ポリシー" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターでは、資格情報の検証やその他のアカウント ログオン イベントを監査するために、カテゴリ "システム監査ポリシー - アカウント ログオン" にグループ ポリシー設定を指定する必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、アプリケーション、セキュリティ、およびユーザー グループ管理、およびその他の管理イベントを監査するためのカテゴリ "システム監査ポリシー - アカウント管理" にグループ ポリシー設定が指定されている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、DPAPI、プロセスの作成/終了、RPC イベント、PNP アクティビティを監査するためのカテゴリ "システム監査ポリシー - 詳細な追跡" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、IPSec、ネットワーク ポリシー、要求、アカウント ロックアウト、グループ メンバーシップ、ログオン/ログオフ イベントを監査するためのカテゴリ "システム監査ポリシー - ログオン/ログオフ" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、監査ファイル、レジストリ、SAM、ストレージ、フィルター処理、カーネル、およびその他のシステムの種類のカテゴリ "システム監査ポリシー - オブジェクト アクセス" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、システム監査ポリシーに対する変更を監査するために、カテゴリ "システム監査ポリシー - ポリシーの変更" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、非センシティブおよびその他の特権の使用を監査するために、カテゴリ "システム監査ポリシー - 特権の使用" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、IPsec ドライバー、システムの整合性、システム拡張機能、状態変更、およびその他のシステム イベントを監査するために、カテゴリ "システム監査ポリシー - システム" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、ローカルでのログオン、RDP、ネットワークからのアクセス、およびその他の多くのユーザー アクティビティを許可するために、カテゴリ "ユーザー権利の割り当て" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsコンピューターには、基本認証、暗号化されていないトラフィック、Microsoft アカウント、テレメトリ、Cortana、およびその他のWindows動作のカテゴリ "Windows コンポーネント" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windowsマシンには、ファイアウォールの状態、接続、ルール管理、および通知のカテゴリ "Windows ファイアウォールのプロパティ" に指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows マシンは、Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 2.1.1 |
| Windowsマシンには許可されているローカル アカウントのみが必要です | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 この定義は、Windows Server 2012 または 2012 R2 ではサポートされていません。 Azure Active Directoryを使用してユーザー アカウントを管理することは、ID を管理するためのベスト プラクティスです。 ローカル マシン アカウントを減らすことで、中央システムの外部で管理される ID が急増するのを防ぐことができます。 有効化され、ポリシー パラメーターにリストされていないローカル ユーザー アカウントが存在する場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows仮想マシン スケール セットには、Azure Monitor エージェントがインストールされている必要があります | Windows仮想マシン スケール セットは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティ保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS とサポートされているリージョン内の仮想マシン スケール セットは、Azure Monitor エージェントのデプロイについて監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.5.0 |
| 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 修復するには、Azure Disk Encryptionまたは EncryptionAtHost を使用します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.1.1 | |
| Windows仮想マシンには、Azure Monitor エージェントがインストールされている必要があります | Windows仮想マシンは、デプロイされた Azure Monitor エージェントを使用して監視およびセキュリティ保護する必要があります。 Azure Monitor エージェントは、ゲスト OS からテレメトリ データを収集します。 サポートされている OS とサポートされているリージョン内のWindows仮想マシンは、Azure Monitor エージェントのデプロイについて監視されます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | AuditIfNotExists、Disabled | 3.5.0 |
Microsoft。VirtualMachineImages
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | 監査、無効、拒否 | 1.1.0 |
Microsoft。ClassicCompute
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Centerの Standard 価格レベルには、追加コストなしで仮想マシンの脆弱性スキャンが含まれます。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Centerでは、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎていることが確認されています。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンは新しいAzure Resource Manager リソースに移行する必要があります | 仮想マシンの新しいAzure Resource Managerを使用して、より強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureなどのセキュリティ強化を提供します。セキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート | Audit、Deny、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- 「Policy の効果について」を確認します。