このページは、Azure Policy Azure ネットワーク サービスの組み込みポリシー定義のインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Azure ネットワーク サービス
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Centerは、一部のサブネットが次世代ファイアウォールで保護されていないことを確認しました。 Azure Firewallまたはサポートされている次世代ファイアウォールを使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護する | AuditIfNotExists、Disabled | 3.0.0-preview | |
| [プレビュー]: Application Gateway にはゾーン回復性が必要である | Application Gateway はゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーン配列内のエントリが 1 つのみの Application Gateway は、ゾーン アラインと見なされます。 これに対して、ゾーン配列内のエントリが 3 つ以上の Application Gateway は、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: プライベート DNS ゾーンを使用するように Recovery Services コンテナー Azure構成します | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| プレビュー: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: ファイアウォールにはゾーン回復性が必要である | ファイアウォールはゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーン配列内のエントリが 1 つのみのファイアウォールは、ゾーン アラインと見なされます。 これに対して、ゾーン配列内のエントリが 3 つ以上のファイアウォールは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: ロード バランサーにはゾーン回復性が必要である | Basic 以外の SKU を持つロード バランサーは、フロントエンドのパブリック IP アドレスの回復性を継承します。 'パブリック IP アドレスにはゾーン回復性が必要である' ポリシーと組み合わせると、ゾーンの停止に耐えるために必要な冗長性が確保されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: NAT ゲートウェイはゾーン アラインである必要がある | NAT ゲートウェイは、ゾーン アラインになるようにも、ならないようにも構成できます。 ゾーン配列内のエントリが 1 つのみの NAT ゲートウェイは、ゾーン アラインと見なされます。 このポリシーを使用すると、NAT ゲートウェイが単一の可用性ゾーン内で動作するように確実に構成されます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: パブリック IP アドレスをゾーン冗長にする必要がある | パブリック IP アドレスをゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 リージョナルで、ゾーン配列内のエントリが 1 つのみのパブリック IP アドレスは、ゾーン アラインと見なされます。 これに対して、リージョナルで、ゾーン配列内のエントリが 3 つ以上のパブリック IP アドレスは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.1.0-preview |
| [プレビュー]: パブリック IP プレフィックスをゾーン冗長にする必要がある | パブリック IP プレフィックスをゾーン アラインまたはゾーン冗長のいずれかに構成するか、そのどちらでもないように構成することができます。 ゾーン配列内のエントリが 1 つのみのパブリック IP プレフィックスは、ゾーン アラインと見なされます。 これに対して、ゾーン配列内のエントリが 3 個以上のパブリック IP プレフィックスは、ゾーン冗長と見なされます。 このポリシーを使用すると、これらの回復性の構成を特定して適用できます。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: 仮想ネットワーク ゲートウェイをゾーン冗長にする必要がある | 仮想ネットワーク ゲートウェイをゾーン冗長にするかどうかを構成できます。 SKU 名またはレベルの末尾が 'AZ' ではない仮想ネットワーク ゲートウェイは、ゾーン冗長ではありません。 このポリシーは、ゾーンの停止に耐えるために必要な冗長性がない仮想ネットワーク ゲートウェイを特定します。 | Audit、Deny、Disabled | 1.0.0-preview |
| すべてのAzure仮想ネットワーク ゲートウェイ接続にカスタム IPsec/IKE ポリシーを適用する必要があります | このポリシーにより、すべてのAzure仮想ネットワーク ゲートウェイ接続で、カスタムのインターネット プロトコル セキュリティ (Ipsec)/インターネット キー Exchange(IKE) ポリシーが使用されます。 サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください | Audit、Disabled | 1.0.0 |
| すべてのフロー ログ リソースは有効な状態にする必要がある | フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、流れている IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| すべての仮想ネットワークのフロー ログ構成を監査する | 仮想ネットワークを監査して、フロー ログが構成されているかどうかを検証します。 フロー ログを有効にすると、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| Azure WAF を使用してAzure Application Gatewayリソースをデプロイする必要があります。 | Audit、Deny、Disabled | 1.0.0 | |
| Azure Application Gateway でリソース ログが有効になっている必要があります | Azure Application Gateway (および WAF) のリソース ログを有効にして、Log Analytics ワークスペースにストリーム配信します。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
| Azure Firewallクラシック ルールはファイアウォール ポリシーに移行する必要があります | Azure Firewallクラシック ルールからファイアウォール ポリシーに移行して、Azure Firewall Managerなどの中央管理ツールを利用します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall Policy Analytics を有効にする必要があります | Policy Analytics を有効にすると、Azure Firewallを通過するトラフィックの可視性が強化され、アプリケーションのパフォーマンスに影響を与えずにファイアウォール構成の最適化が可能になります | Audit、Disabled | 1.0.0 |
| Azure Firewall Policy は脅威インテリジェンスを有効にする必要があります | ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレスやドメインとの間のトラフィックの警告と拒否を行うことができます。 IP アドレスとドメインは、Microsoft脅威インテリジェンス フィードから取得されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall ポリシーで DNS プロキシが有効になっている必要があります | DNS プロキシを有効にすると、このポリシーに関連付けられているAzure Firewallがポート 53 でリッスンし、DNS 要求が指定された DNS サーバーに転送されます | Audit、Disabled | 1.0.0 |
| 可用性を高めるために、複数のAvailability ZonesにまたがるAzure Firewallをデプロイすることをお勧めします。 これにより、ゾーン障害が発生した場合でもAzure Firewallを引き続き使用できるようになります。 | Audit、Deny、Disabled | 1.0.0 | |
| ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレスやドメインとの間のトラフィックの警告と拒否を行うことができます。 IP アドレスとドメインは、Microsoft脅威インテリジェンス フィードから取得されます。 | Audit、Deny、Disabled | 1.0.0 | |
| Azure Firewall Standard は、次世代の保護のために Premium にアップグレードする必要があります | IDPS や TLS 検査などの次世代の保護を探している場合は、Azure Firewallを Premium SKU にアップグレードすることを検討する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door でリソース ログが有効になっている必要があります | Azure Front Door (および WAF) のリソース ログを有効にして、Log Analytics ワークスペースにストリーム配信します。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure VPN ゲートウェイでは "basic" SKU を使用しないでください | このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。 | Audit、Disabled | 1.0.0 |
| Azure Application GatewayのAzure Web Application Firewallでは、要求本文の検査が有効になっている必要があります | Azure Application ゲートウェイに関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認します。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front DoorのAzure Web Application Firewallでは、要求本文の検査が有効になっている必要があります | Azure Front Door に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認します。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 | |
| このポリシーにより、すべてのAzure Application Gateway Web Application Firewall (WAF) ポリシーでボット保護が有効になります | Audit、Deny、Disabled | 1.0.0 | |
| このポリシーにより、すべてのAzure Front Door Web Application Firewall (WAF) ポリシーでボット保護が有効になります | Audit、Deny、Disabled | 1.0.0 | |
| BLOB groupID 用のプライベート DNS ゾーン ID を構成する | BLOB groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| blob_secondary groupID 用のプライベート DNS ゾーン ID を構成する | blob_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| dfs groupID 用のプライベート DNS ゾーン ID を構成する | dfs groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| dfs_secondary groupID 用のプライベート DNS ゾーン ID を構成する | dfs_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| ファイル groupID 用のプライベート DNS ゾーン ID を構成する | ファイル groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| キュー groupID 用のプライベート DNS ゾーン ID を構成する | キュー groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| queue_secondary groupID 用のプライベート DNS ゾーン ID を構成する | queue_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| テーブル groupID 用のプライベート DNS ゾーン ID を構成する | テーブル groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| table_secondary groupID 用のプライベート DNS ゾーン ID を構成する | table_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Web groupID 用のプライベート DNS ゾーン ID を構成する | Web groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| web_secondary groupID 用のプライベート DNS ゾーン ID を構成する | web_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように App Service アプリを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンでは、仮想ネットワークが App Service にリンクされます。 詳細については、https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| プライベート DNS ゾーンを使用するためのAzure AI Search サービスの構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクして、Azure AI Search サービスに解決します。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するためのAzure Arc Private Linkスコープの構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Arc Private Linkスコープに解決されます。 詳細については、https://aka.ms/arc/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.2.0 |
| プライベート DNS ゾーンを持つAzure Automation アカウントの構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 Azure Private Link経由でAzure Automation アカウントに接続するようにプライベート DNS ゾーンを適切に構成する必要があります。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するための Azure Cache for Redis Enterprise の構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Azure Cache for Redis Enterprise に解決できます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するための構成Azure Cache for Redis | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Azure Cache for Redisに解決できます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するためのワークスペースAzure Databricks構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Databricksワークスペースに解決されます。 詳細については、https://aka.ms/adbpe を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するIoT Hub アカウントの Device Update Azure構成します | Azure Private DNSは、カスタム DNS ソリューションを追加しなくても、仮想ネットワーク内のドメイン名を管理および解決するための信頼性の高いセキュリティで保護された DNS サービスを提供します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーは、Device Update for IoT Hub プライベート エンドポイント用のプライベート DNS ゾーンをデプロイします。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するための構成Azure File Sync | 登録済みサーバーからストレージ同期サービスのリソース インターフェイスのプライベート エンドポイントにアクセスするには、プライベート エンドポイントのプライベート IP アドレスに対して正しい名前を解決するように DNS を構成する必要があります。 このポリシーにより、Storage Sync Service プライベート エンドポイントのインターフェイスに必要な Azure Private DNS ゾーンと A レコードが作成されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| プライベート DNS ゾーンを使用するためのクラスター Azure HDInsight構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure HDInsight クラスターに解決されます。 詳細については、https://aka.ms/hdi.pl を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するための Key Vault Azure構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、キー コンテナーに解決されるようにします。 詳細については、https://aka.ms/akvprivatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するためのワークスペースAzure Machine Learning構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Machine Learningワークスペースに解決されます。 詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0 |
| プライベート DNS ゾーンを使用するためのワークスペースAzure Managed Grafana構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクして、Azure Managed Grafana ワークスペースに解決します。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するためのリソースAzure Migrate構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Migrate プロジェクトに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するためのスコープAzure Monitor Private Link構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、プライベート リンク スコープAzure Monitor解決されます。 詳細については、https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するためのワークスペースAzure Synapse構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクして、Azure Synapse ワークスペースに解決します。 詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
| プライベート DNS ゾーンを使用するためのホスト プール リソースAzure Virtual Desktop構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Virtual Desktop リソースに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するためのワークスペース リソースAzure Virtual Desktop構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Virtual Desktop リソースに解決されます。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するための Azure Web PubSub サービスの構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure Web PubSub サービスに解決されます。 詳細については、https://aka.ms/awps/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように BotService リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、BotService 関連リソースに解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Cognitive Services アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを仮想ネットワークにリンクして、Cognitive Services アカウントに解決されるようにします。 詳細については、https://go.microsoft.com/fwlink/?linkid=2110097 を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するようにコンテナー レジストリを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、Container Registry を解決するために、仮想ネットワークにリンクします。 詳細情報: https://aka.ms/privatednszone および https://aka.ms/acr/private-link。 | DeployIfNotExists、Disabled | 1.0.1 |
| プライベート DNS ゾーンを使用するように CosmosDB アカウントを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、CosmosDB アカウントを解決するために、仮想ネットワークにリンクします。 詳細については、https://aka.ms/privatednszone を参照してください。 | DeployIfNotExists、Disabled | 2.0.0 |
| Azure ネットワーク セキュリティ グループの診断設定をワークスペースにLog Analyticsする構成 | 診断設定を Azure ネットワーク セキュリティ グループにデプロイして、リソース ログを Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように、ディスク アクセス リソースを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、マネージド ディスクに解決されます。 詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するようにイベント ハブ名前空間を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、イベント ハブ名前空間を解決するために、仮想ネットワークにリンクします。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoftとのファイル共有の構成。プライベート DNS ゾーンを使用する FileShares | Microsoftのプライベート エンドポイントにアクセスします。FileShares リソースでは、正しい名前をプライベート エンドポイントのプライベート IP アドレスに解決するように DNS を構成する必要があります。 このポリシーにより、Microsoftのインターフェイスに必要な Azure Private DNS ゾーンと A レコードが作成されます。FileShares プライベート エンドポイント。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するためのデバイス プロビジョニング インスタンスIoT Hub構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクして、IoT Hub デバイス プロビジョニング サービス インスタンスに解決します。 詳細については、https://aka.ms/iotdpsvnet を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| トラフィック分析を有効にするためにネットワーク セキュリティ グループを構成する | トラフィック分析は、ポリシーの作成時に指定された設定を使用して、特定のリージョンでホストされているすべてのネットワーク セキュリティ グループに対して有効にできます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 それを持たないネットワーク セキュリティ グループでは、フロー ログも有効化されます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| トラフィック分析に特定のワークスペース、ストレージ アカウント、フローログ保持ポリシーを使用するようにネットワーク セキュリティ グループを構成する | トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| App Configuration に接続されているプライベート エンドポイントのプライベート DNS ゾーンを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンを自分の仮想ネットワークにリンクして、アプリ構成インスタンスを解決することができます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| Private DNSレコードでは、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続では、ソースまたは宛先でパブリック IP アドレスを必要とせずに、Azure Data Factoryへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Azure Data Factoryのプライベート エンドポイントと DNS ゾーンの詳細については、「https://docs.microsoft.com/azure/data-factory/data-factory-private-link」を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 | |
| Private DNSレコードでは、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続では、送信元または送信先でパブリック IP アドレスを必要とせずに、Azure Maps アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 | DeployIfNotExists、Disabled | 1.0.0 | |
| プライベート DNS ゾーンを使用するための Azure AD のPrivate Linkの構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Azure AD に解決されます。 詳細については、https://aka.ms/privateLinkforAzureADDocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するための名前空間Service Bus構成 | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Service Bus名前空間に解決されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| フロー ログと Traffic Analytics を有効にするように仮想ネットワークを構成する | Traffic Analytics とフロー ログは、ポリシー作成時に指定された設定を使用して、特定のリージョンでホストされているすべての仮想ネットワークに対して有効にすることができます。 このポリシーによって、これらの機能が既に有効になっている仮想ネットワークの現在の設定が上書きされることはありません。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.1.1 |
| フロー ログと Traffic Analytics にワークスペース、ストレージ アカウント、保持間隔を適用するように仮想ネットワークを構成する | 仮想ネットワークに対して Traffic Analytics が既に有効になっている場合、このポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.1.2 |
| VNet Flowlogs の NetworkWatcherRG でリージョン NetworkWatcher を作成する | このポリシーは、仮想ネットワークの Flowlog を有効にするために、指定されたリージョンにNetwork Watcherを作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Deploy - プライベート DNS ゾーンを使用するようにAzure Event Grid ドメインを構成します | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| Deploy - プライベート DNS ゾーンを使用するように Azure Event Grid トピックを構成します | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 詳細については、https://aka.ms/privatednszone を参照してください。 | deployIfNotExists、DeployIfNotExists、Disabled | 1.1.0 |
| Deploy - プライベート DNS ゾーンを使用するように Azure IoT Hubs を構成します | Azure Private DNSは、カスタム DNS ソリューションを追加しなくても、仮想ネットワーク内のドメイン名を管理および解決するための信頼性の高いセキュリティで保護された DNS サービスを提供します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーでは、プライベート エンドポイント用のプライベート DNS ゾーンIoT Hub展開します。 | deployIfNotExists、DeployIfNotExists、disabled、Disabled | 1.1.0 |
| デプロイ - プライベート DNS ゾーンを使用するように IoT Central を構成する | Azure Private DNSは、カスタム DNS ソリューションを追加しなくても、仮想ネットワーク内のドメイン名を管理および解決するための信頼性の高いセキュリティで保護された DNS サービスを提供します。 プライベート DNS ゾーンを使用すると、プライベート エンドポイントに独自のカスタム ドメイン名を使用して DNS Resolution を上書きできます。 このポリシーにより IoT Central プライベート エンドポイント用のプライベート DNS ゾーンがデプロイされます。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクして、Azure SignalR Service リソースに解決します。 詳細については、https://aka.ms/asrs/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 | |
| デプロイ - Batch アカウントに接続するプライベート エンドポイントに対してプライベート DNS ゾーンを構成する | Private DNSレコードでは、プライベート エンドポイントへのプライベート接続が許可されます。 プライベート エンドポイント接続を使用すると、送信元または送信先のパブリック IP アドレスを必要とせずに Batch アカウントへのプライベート接続を有効にすることで、セキュリティで保護された通信が可能になります。 Batch でのプライベート エンドポイントと DNS ゾーンの詳細については、https://docs.microsoft.com/azure/batch/private-connectivity を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| ターゲット ネットワーク セキュリティ グループを使用してフロー ログ リソースをデプロイする | 特定のネットワーク セキュリティ グループのフロー ログを構成します。 ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | deployIfNotExists | 1.1.0 |
| ターゲット仮想ネットワークを使用してフロー ログ リソースをデプロイする | 特定の仮想ネットワークのフロー ログを構成します。 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | DeployIfNotExists、Disabled | 1.1.1 |
| ネットワーク セキュリティ グループの診断設定のデプロイ | このポリシーは、ネットワーク セキュリティ グループに対して診断設定を自動的にデプロイします。 '{storagePrefixParameter}{NSGLocation}' という名前のストレージ アカウントが自動的に作成されます。 | deployIfNotExists | 2.0.1 |
| 仮想ネットワーク作成時の Network Watcher のデプロイ | このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。 Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。 | DeployIfNotExists | 1.0.0 |
| リージョンストレージと一元化されたLog Analyticsを使用して、VNet 用 Traffic Analytics を使用して VNet フロー ログをデプロイします。 修復の前に、resourceGroupName リソース グループ、ストレージ アカウント、Log Analytics ワークスペース、Network Watcherがすべて既にデプロイされていることを確認します。 | DeployIfNotExists、Disabled | 1.0.0 | |
| アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、アプリケーション ゲートウェイ (microsoft.network/applicationgateways) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、アプリケーション ゲートウェイ (microsoft.network/applicationgateways) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bastion (microsoft.network/bastionhosts) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、Bastions (microsoft.network/bastionhosts) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| Bastion (microsoft.network/bastionhosts) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Bastion (microsoft.network/bastionhosts) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| ExpressRoute 回線 (microsoft.network/expressroutecircuits) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ExpressRoute 回線 (microsoft.network/expressroutecircuits) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、ExpressRoute 回線 (microsoft.network/expressroutecircuits) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| ExpressRoute 回線 (microsoft.network/expressroutecircuits) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ExpressRoute 回線 (microsoft.network/expressroutecircuits) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ファイアウォール (microsoft.network/azurefirewalls) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| Firewalls (microsoft.network/azurefirewalls) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Firewall (microsoft.network/azurefirewalls) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ファイアウォール (microsoft.network/azurefirewalls) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| Firewalls (microsoft.network/azurefirewalls) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Firewall (microsoft.network/azurefirewalls) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Front Door と CDN プロファイル (microsoft.network/frontdoors) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.network/frontdoors) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、Front Door プロファイルと CDN プロファイル (microsoft.network/frontdoors) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| Front Door と CDN プロファイル (microsoft.network/frontdoors) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Front Door と CDN プロファイル (microsoft.network/frontdoors) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| ロード バランサー (microsoft.network/loadbalancers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ロード バランサー (microsoft.network/loadbalancers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、ロード バランサー (microsoft.network/loadbalancers) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| ロード バランサー (microsoft.network/loadbalancers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ロード バランサー (microsoft.network/loadbalancers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/dnsresolverpolicies 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/dnsresolverpolicies 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.network/dnsresolverpolicies のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.network/dnsresolverpolicies 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/dnsresolverpolicies 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/networkmanagers/ipampools 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/networkmanagers/ipampools 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.network/networkmanagers/ipampools のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.network/networkmanagers/ipampools 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/networkmanagers/ipampools 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/networksecurityperimeters 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/networksecurityperimeters 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.network/networksecurityperimeters のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.network/networksecurityperimeters 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/networksecurityperimeters 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.network/p2svpngateways のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/p2svpngateways 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.network/p2svpngateways のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| microsoft.network/p2svpngateways のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/p2svpngateways 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| microsoft.network/vpngateways 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/vpngateways 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.network/vpngateways のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.network/vpngateways 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.network/vpngateways 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkanalytics/dataproducts 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkanalytics/dataproducts 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.networkanalytics/dataproducts のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.networkanalytics/dataproducts 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkanalytics/dataproducts 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkcloud/baremetalmachines 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkcloud/baremetalmachines 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.networkcloud/baremetalmachines のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.networkcloud/baremetalmachines 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkcloud/baremetalmachines 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkcloud/clusters 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkcloud/clusters 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.networkcloud/clusters のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.networkcloud/clusters 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkcloud/clusters 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkcloud/storageappliances 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkcloud/storageappliances 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、microsoft.networkcloud/storageappliances のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.networkcloud/storageappliances 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkcloud/storageappliances 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| microsoft.networkfunction/azuretrafficcollectors 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkfunction/azuretrafficcollectors 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkfunction/azuretrafficcollectors のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| microsoft.networkfunction/azuretrafficcollectors 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、microsoft.networkfunction/azuretrafficcollectors 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ネットワーク マネージャー (microsoft.network/networkmanagers) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ネットワーク マネージャー (microsoft.network/networkmanagers) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、ネットワーク マネージャー (microsoft.network/networkmanagers) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| ネットワーク マネージャー (microsoft.network/networkmanagers) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ネットワーク マネージャー (microsoft.network/networkmanagers) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| ネットワーク セキュリティ グループ (microsoft.network/networksecuritygroups) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ネットワーク セキュリティ グループ (microsoft.network/networksecuritygroups) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、ネットワーク セキュリティ グループ (microsoft.network/networksecuritygroups) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| ネットワーク セキュリティ グループ (microsoft.network/networksecuritygroups) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、ネットワーク セキュリティ グループ (microsoft.network/networksecuritygroups) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| パブリック IP アドレス (microsoft.network/publicipaddresses) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定がデプロイされて、パブリック IP アドレス (microsoft.network/publicipaddresses) 用のイベント ハブにログがルーティングされます。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、パブリック IP アドレス (microsoft.network/publicipaddresses) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| パブリック IP アドレス (microsoft.network/publicipaddresses) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、パブリック IP アドレス (microsoft.network/publicipaddresses) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| パブリック IP プレフィックス (microsoft.network/publicipprefixes) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、パブリック IP プレフィックス (microsoft.network/publicipprefixes) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、パブリック IP プレフィックス (microsoft.network/publicipprefixes) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| パブリック IP プレフィックス (microsoft.network/publicipprefixes) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、パブリック IP プレフィックス (microsoft.network/publicipprefixes) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| Traffic Manager プロファイル (microsoft.network/trafficmanagerprofiles) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Traffic Manager プロファイル (microsoft.network/trafficmanagerprofiles) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定を展開し、Traffic Manager プロファイル (microsoft.network/trafficmanagerprofiles) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 | |
| Traffic Manager プロファイル (microsoft.network/trafficmanagerprofiles) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Traffic Manager プロファイル (microsoft.network/trafficmanagerprofiles) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| 仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク ゲートウェイ (microsoft.network/virtualnetworkgateways) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 仮想ネットワーク (microsoft.network/virtualnetworks) 用のカテゴリ グループを使用したイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク (microsoft.network/virtualnetworks) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク (microsoft.network/virtualnetworks) のLog Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 | |
| 仮想ネットワーク (microsoft.network/virtualnetworks) 用のカテゴリ グループを使用したストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、仮想ネットワーク (microsoft.network/virtualnetworks) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| WAF に対する DDoS 攻撃から保護するレート制限ルールAzure Front Door有効 | Azure Front DoorのAzure Web Application Firewall (WAF) レート制限規則は、レート制限期間中に特定のクライアント IP アドレスからアプリケーションに対して許可される要求の数を制御します。 | Audit、Deny、Disabled | 1.0.0 |
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.1.0 |
| ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。 ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。 | deny | 1.0.0 |
| Application Gateway で WAF 構成から WAF ポリシーに WAF を移行する | WAF ポリシーではなく WAF 構成がある場合は、新しい WAF ポリシーに移行できます。 今後、ファイアウォール ポリシーでは、WAF ポリシーの設定、マネージド ルール セット、除外、無効になっているルール グループがサポートされます。 | Audit、Deny、Disabled | 1.0.0 |
| ネットワーク インターフェイスを、承認された仮想ネットワークの承認されたサブネットに接続する必要がある | このポリシーは、承認されていない仮想ネットワークまたはサブネットにネットワーク インターフェイスが接続されるのをブロックします。 https://aka.ms/VirtualEnclaves | Audit、Deny、Disabled | 1.0.0 |
| ネットワーク インターフェイスで IP 転送を無効にする | このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。 IP 転送の設定により、Azureのネットワーク インターフェイスの送信元と送信先のチェックが無効になります。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| ネットワーク インターフェイスにはパブリック IP を設定できない | このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースはAzureリソースと受信通信を行い、Azureリソースはインターネットに送信して通信できます。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| Network Watcher フロー ログでトラフィック分析が有効になっている必要があります | トラフィック分析では、フロー ログを分析して、Azure クラウド内のトラフィック フローに関する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの構成ミスなどを特定できます。 | Audit、Disabled | 1.0.1 |
| Network Watcherを有効にする必要があります | Network Watcherは、ネットワーク シナリオ レベルで、Azureとの間で条件を監視および診断できるリージョン サービスです。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 診断設定でパブリック IP アドレスのリソース ログを有効にして、Log Analytics ワークスペースにストリーミングします。 通知、レポート、フロー ログを使用して、攻撃のトラフィックと DDoS 攻撃を軽減するために取られた処置に関する詳細を表示します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 | |
| パブリック IP とパブリック IP プレフィックスには FirstPartyUsage タグが必要 | すべてのパブリック IP アドレスとパブリック IP プレフィックスに FirstPartyUsage タグがあることを確認します。 | Audit、Deny、Disabled | 1.1.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、サブネットへのネットワーク トラフィックを許可または拒否する Access Control リスト (ACL) 規則の一覧が含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| サブネットはプライベートにする必要がある | 既定の送信アクセスを禁止することで、サブネットが既定でセキュリティ保護されるようにします。 詳細については、https://aka.ms/defaultoutboundaccessretirement を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure Firewallを Virtual Hubs にデプロイして、インターネットエグレストラフィックとイングレス トラフィックを保護し、きめ細かく制御します。 | Audit、Deny、Disabled | 1.0.0 | |
| 仮想マシンは、承認された仮想ネットワークに接続する必要があります | このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure DDoS Protection を使用して、仮想ネットワークをボリューム攻撃やプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 | Modify、Audit、Disabled | 1.0.1 | |
| 仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります | このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対してAzure Active Directory (Azure AD) 認証のみを使用する必要があります | ローカル認証方法を無効にすると、VPN ゲートウェイで認証にAzure Active Directory ID のみが使用されるようにすることで、セキュリティが向上します。 Azure AD 認証の詳細については、https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit、Deny、Disabled | 1.0.0 |
| Application Gateway で Web Application Firewall (WAF) を有効にする必要があります | 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Web Application Firewall (WAF) は、Application Gateway に対して指定されたモードを使用する必要があります | Application Gateway のすべてのWeb Application Firewall ポリシーで、"検出" モードまたは "防止" モードの使用をアクティブにすることを義務付けます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door ServiceのすべてのWeb Application Firewall ポリシーで "検出" モードまたは "防止" モードの使用を必須にします。 | Audit、Deny、Disabled | 1.0.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- 「Policy の効果について」を確認します。