このページは、Azure Virtual NetworkのAzure Policy組み込みのポリシー定義のインデックスです。 他のサービスのその他の組み込みAzure Policyについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Azure 仮想ネットワーク
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Centerは、一部のサブネットが次世代ファイアウォールで保護されていないことを確認しました。 Azure Firewallまたはサポートされている次世代ファイアウォールを使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護する | AuditIfNotExists、Disabled | 3.0.0-preview | |
| [プレビュー]: コンテナー レジストリは仮想ネットワーク サービス エンドポイントを使う必要がある | このポリシーでは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのコンテナー レジストリを監査します。 | Audit、Disabled | 1.0.0-preview |
| すべてのAzure仮想ネットワーク ゲートウェイ接続にカスタム IPsec/IKE ポリシーを適用する必要があります | このポリシーにより、すべてのAzure仮想ネットワーク ゲートウェイ接続で、カスタムのインターネット プロトコル セキュリティ (Ipsec)/インターネット キー Exchange(IKE) ポリシーが使用されます。 サポートされているアルゴリズムとキーの強度については、https://aka.ms/AA62kb0 をご覧ください | Audit、Disabled | 1.0.0 |
| すべてのフロー ログ リソースは有効な状態にする必要がある | フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、流れている IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure仮想ネットワークから選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
| すべての仮想ネットワークのフロー ログ構成を監査する | 仮想ネットワークを監査して、フロー ログが構成されているかどうかを検証します。 フロー ログを有効にすると、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| Azure Application Gateway for Containers にはセキュリティ ポリシーが必要です | コンテナ用アプリケーションゲートウェイに少なくとも1つのセキュリティポリシーが設定されていることを確認します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure WAF を使用してAzure Application Gatewayリソースをデプロイする必要があります。 | Audit、Deny、Disabled | 1.0.0 | |
| Azure Firewallクラシック ルールはファイアウォール ポリシーに移行する必要があります | Azure Firewallクラシック ルールからファイアウォール ポリシーに移行して、Azure Firewall Managerなどの中央管理ツールを利用します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall Policy Analytics を有効にする必要があります | Policy Analytics を有効にすると、Azure Firewallを通過するトラフィックの可視性が強化され、アプリケーションのパフォーマンスに影響を与えずにファイアウォール構成の最適化が可能になります | Audit、Disabled | 1.0.0 |
| Azure Firewall Policy は脅威インテリジェンスを有効にする必要があります | ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレスやドメインとの間のトラフィックの警告と拒否を行うことができます。 IP アドレスとドメインは、Microsoft脅威インテリジェンス フィードから取得されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Firewall ポリシーで DNS プロキシが有効になっている必要があります | DNS プロキシを有効にすると、このポリシーに関連付けられているAzure Firewallがポート 53 でリッスンし、DNS 要求が指定された DNS サーバーに転送されます | Audit、Disabled | 1.0.0 |
| 可用性を高めるために、複数のAvailability ZonesにまたがるAzure Firewallをデプロイすることをお勧めします。 これにより、ゾーン障害が発生した場合でもAzure Firewallを引き続き使用できるようになります。 | Audit、Deny、Disabled | 1.0.0 | |
| ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレスやドメインとの間のトラフィックの警告と拒否を行うことができます。 IP アドレスとドメインは、Microsoft脅威インテリジェンス フィードから取得されます。 | Audit、Deny、Disabled | 1.0.0 | |
| Azure Firewall Standard は、次世代の保護のために Premium にアップグレードする必要があります | IDPS や TLS 検査などの次世代の保護を探している場合は、Azure Firewallを Premium SKU にアップグレードすることを検討する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| Azure VPN ゲートウェイでは "basic" SKU を使用しないでください | このポリシーでは、VPN ゲートウェイが 'Basic' SKU を使用していないことを確認します。 | Audit、Disabled | 1.0.0 |
| Azure Application GatewayのAzure Web Application Firewallでは、要求本文の検査が有効になっている必要があります | Azure Application ゲートウェイに関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認します。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front DoorのAzure Web Application Firewallでは、要求本文の検査が有効になっている必要があります | Azure Front Door に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認します。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 | |
| このポリシーにより、すべてのAzure Application Gateway Web Application Firewall (WAF) ポリシーでボット保護が有効になります | Audit、Deny、Disabled | 1.0.0 | |
| このポリシーにより、すべてのAzure Front Door Web Application Firewall (WAF) ポリシーでボット保護が有効になります | Audit、Deny、Disabled | 1.0.0 | |
| Azure ネットワーク セキュリティ グループの診断設定をワークスペースにLog Analyticsする構成 | 診断設定を Azure ネットワーク セキュリティ グループにデプロイして、リソース ログを Log Analytics ワークスペースにストリーミングします。 | DeployIfNotExists、Disabled | 1.0.0 |
| トラフィック分析を有効にするためにネットワーク セキュリティ グループを構成する | トラフィック分析は、ポリシーの作成時に指定された設定を使用して、特定のリージョンでホストされているすべてのネットワーク セキュリティ グループに対して有効にできます。 トラフィック分析が既に有効になっている場合、ポリシーによってその設定が上書きされることはありません。 それを持たないネットワーク セキュリティ グループでは、フロー ログも有効化されます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| トラフィック分析に特定のワークスペース、ストレージ アカウント、フローログ保持ポリシーを使用するようにネットワーク セキュリティ グループを構成する | トラフィック分析が既に有効になっている場合、ポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.2.0 |
| フロー ログと Traffic Analytics を有効にするように仮想ネットワークを構成する | Traffic Analytics とフロー ログは、ポリシー作成時に指定された設定を使用して、特定のリージョンでホストされているすべての仮想ネットワークに対して有効にすることができます。 このポリシーによって、これらの機能が既に有効になっている仮想ネットワークの現在の設定が上書きされることはありません。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.1.1 |
| フロー ログと Traffic Analytics にワークスペース、ストレージ アカウント、保持間隔を適用するように仮想ネットワークを構成する | 仮想ネットワークに対して Traffic Analytics が既に有効になっている場合、このポリシーによって、ポリシーの作成時に指定された設定で既存の設定が上書きされます。 トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 | DeployIfNotExists、Disabled | 1.1.2 |
| Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Cosmos DB を監査します。 | Audit、Disabled | 1.0.0 |
| 指定したリソース グループに VNet Flowlog Traffic Analytics 用の中央Log Analytics ワークスペースを作成します | 割り当てられたスコープとリソース グループ nwtarg-<subscriptionID> の下に、VNet フローログの既定で中央Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| VNet Flowlogs の NetworkWatcherRG でリージョン NetworkWatcher を作成する | このポリシーは、仮想ネットワークの Flowlog を有効にするために、指定されたリージョンにNetwork Watcherを作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| resourceGroupName RG で VNet Flowlogs のリージョンストレージアカウントを作成する | 割り当てられたスコープとリソース グループ nwtarg-<subscriptionID> の下に、VNet フローログ用のリージョン ストレージ アカウントを既定で作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| ターゲット ネットワーク セキュリティ グループを使用してフロー ログ リソースをデプロイする | 特定のネットワーク セキュリティ グループのフロー ログを構成します。 ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | deployIfNotExists | 1.1.0 |
| ターゲット仮想ネットワークを使用してフロー ログ リソースをデプロイする | 特定の仮想ネットワークのフロー ログを構成します。 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、不明または不要なトラフィックの識別、ネットワークの分離とエンタープライズ アクセス規則へのコンプライアンスの検証、侵害された IP とネットワーク インターフェイスからのネットワーク フローの分析に役立ちます。 | DeployIfNotExists、Disabled | 1.1.1 |
| 仮想ネットワーク作成時の Network Watcher のデプロイ | このポリシーは、仮想ネットワークのあるリージョンに Network Watcher リソースを作成します。 Network Watcher インスタンスをデプロイするために使用される、networkWatcherRG という名前のリソース グループが存在することを確認する必要があります。 | DeployIfNotExists | 1.0.0 |
| リージョンストレージと一元化されたLog Analyticsを使用して、VNet 用 Traffic Analytics を使用して VNet フロー ログをデプロイします。 修復の前に、resourceGroupName リソース グループ、ストレージ アカウント、Log Analytics ワークスペース、Network Watcherがすべて既にデプロイされていることを確認します。 | DeployIfNotExists、Disabled | 1.0.0 | |
| WAF に対する DDoS 攻撃から保護するレート制限ルールAzure Front Door有効 | Azure Front DoorのAzure Web Application Firewall (WAF) レート制限規則は、レート制限期間中に特定のクライアント IP アドレスからアプリケーションに対して許可される要求の数を制御します。 | Audit、Deny、Disabled | 1.0.0 |
| イベント ハブは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのイベント ハブを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.1.0 |
| ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | このポリシーは、ゲートウェイ サブネットがネットワーク セキュリティ グループで構成されている場合に拒否します。 ネットワーク セキュリティ グループをゲートウェイ サブネットに割り当てると、ゲートウェイが機能しなくなります。 | deny | 1.0.0 |
| Key Vaultは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないKey Vaultを監査します。 | Audit、Disabled | 1.0.0 |
| Application Gateway で WAF 構成から WAF ポリシーに WAF を移行する | WAF ポリシーではなく WAF 構成がある場合は、新しい WAF ポリシーに移行できます。 今後、ファイアウォール ポリシーでは、WAF ポリシーの設定、マネージド ルール セット、除外、無効になっているルール グループがサポートされます。 | Audit、Deny、Disabled | 1.0.0 |
| ネットワーク インターフェイスで IP 転送を無効にする | このポリシーは、IP 転送を有効にしたネットワーク インターフェイスを拒否します。 IP 転送の設定により、Azureのネットワーク インターフェイスの送信元と送信先のチェックが無効になります。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| ネットワーク インターフェイスにはパブリック IP を設定できない | このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースはAzureリソースと受信通信を行い、Azureリソースはインターネットに送信して通信できます。 これは、ネットワーク セキュリティ チームが確認する必要があります。 | deny | 1.0.0 |
| Network Watcher フロー ログでトラフィック分析が有効になっている必要があります | トラフィック分析では、フロー ログを分析して、Azure クラウド内のトラフィック フローに関する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの構成ミスなどを特定できます。 | Audit、Disabled | 1.0.1 |
| Network Watcherを有効にする必要があります | Network Watcherは、ネットワーク シナリオ レベルで、Azureとの間で条件を監視および診断できるリージョン サービスです。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| パブリック IP とパブリック IP プレフィックスには FirstPartyUsage タグが必要 | すべてのパブリック IP アドレスとパブリック IP プレフィックスに FirstPartyUsage タグがあることを確認します。 | Audit、Deny、Disabled | 1.1.0 |
| SQL Serverは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないSQL Serverを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
| サブネットはプライベートにする必要がある | 既定の送信アクセスを禁止することで、サブネットが既定でセキュリティ保護されるようにします。 詳細については、https://aka.ms/defaultoutboundaccessretirement を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure Firewallを Virtual Hubs にデプロイして、インターネットエグレストラフィックとイングレス トラフィックを保護し、きめ細かく制御します。 | Audit、Deny、Disabled | 1.0.0 | |
| 仮想マシンは、承認された仮想ネットワークに接続する必要があります | このポリシーは、承認されていない仮想ネットワークに接続されているすべての仮想マシンを監査します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure DDoS Protection を使用して、仮想ネットワークをボリューム攻撃やプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 | Modify、Audit、Disabled | 1.0.1 | |
| 仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります | このポリシーは、指定された仮想ネットワーク ゲートウェイを既定のルートが指していない場合に、仮想ネットワークを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対してAzure Active Directory (Azure AD) 認証のみを使用する必要があります | ローカル認証方法を無効にすると、VPN ゲートウェイで認証にAzure Active Directory ID のみが使用されるようにすることで、セキュリティが向上します。 Azure AD 認証の詳細については、https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit、Deny、Disabled | 1.0.0 |
| Application Gateway で Web Application Firewall (WAF) を有効にする必要があります | 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Web Application Firewall (WAF) は、Application Gateway に対して指定されたモードを使用する必要があります | Application Gateway のすべてのWeb Application Firewall ポリシーで、"検出" モードまたは "防止" モードの使用をアクティブにすることを義務付けます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door ServiceのすべてのWeb Application Firewall ポリシーで "検出" モードまたは "防止" モードの使用を必須にします。 | Audit、Deny、Disabled | 1.0.0 |
Tags
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| リソース グループにタグを追加する | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | modify | 1.0.0 |
| リソースにタグを追加する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 リソース グループのタグは変更されません。 | modify | 1.0.0 |
| サブスクリプションにタグを追加する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加します。 タグに異なる値が含まれている場合、タグは変更されません。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | modify | 1.0.0 |
| リソース グループのタグを追加または置換する | 任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 | modify | 1.0.0 |
| リソースのタグを追加または置換する | 任意のリソースが作成または更新されたときに、指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 リソース グループのタグは変更されません。 | modify | 1.0.0 |
| サブスクリプションのタグを追加または置換する | 修復タスクを使用して、指定されたタグと値をサブスクリプションに追加または置換します。 修復タスクをトリガーすることで、既存のリソース グループを修復できます。 ポリシー修復の詳細については、https://aka.ms/azurepolicyremediation を参照してください。 | modify | 1.0.0 |
| タグとその値をリソース グループから追加 | このタグがない任意のリソースが作成または更新されたときに、リソース グループの指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | アペンドする | 1.0.0 |
| タグとその値のリソース グループへの追加 | このタグがない任意のリソース グループが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソース グループが変更されるまで、このポリシーが適用される前に作成されたリソース グループのタグは変更されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | アペンドする | 1.0.0 |
| タグとその値をリソースに追加する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を追加します。 これらのリソースが変更されるまで、このポリシーが適用される前に作成されたリソースのタグは変更されません。 リソース グループには適用されません。 既存のリソースのタグの修復をサポートする新しい "変更" 効果ポリシーが利用可能です (https://aka.ms/modifydoc を参照してください)。 | アペンドする | 1.0.1 |
| リソース グループからタグを継承する | 任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 | modify | 1.0.0 |
| 存在しない場合は、リソース グループからタグを継承する | このタグがない任意のリソースが作成または更新されたときに、親リソース グループの指定されたタグと値を追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | modify | 1.0.0 |
| サブスクリプションからタグを継承する | 任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加または置換します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 | modify | 1.0.0 |
| 存在しない場合は、サブスクリプションからタグを継承する | このタグがない任意のリソースが作成または更新されたときに、指定されたタグと値を、それを含むサブスクリプションから追加します。 修復タスクをトリガーすることで、既存のリソースを修復できます。 タグに異なる値が含まれている場合、タグは変更されません。 | modify | 1.0.0 |
| リソース グループでタグとその値を必須にする | リソース グループで必要なタグとその値を強制します。 | deny | 1.0.0 |
| タグとその値がリソースに必要 | 必要なタグとその値を強制的に適用します。 リソース グループには適用されません。 | deny | 1.0.1 |
| リソース グループでタグを必須にする | リソース グループでタグの存在を強制します。 | deny | 1.0.0 |
| リソースでタグを必須にする | タグの存在を強制します。 リソース グループには適用されません。 | deny | 1.0.1 |
General
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 許可されている場所 | このポリシーでは、リソースをデプロイするときに組織が指定できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 リソース グループ、Microsoftを除外します。AzureActiveDirectory/b2cDirectories、および "グローバル" リージョンを使用するリソース。 | Audit、Deny、Disabled | 1.1.0 |
| リソース グループが許可される場所 | このポリシーでは、組織がリソース グループを作成できる場所を制限できます。 geo コンプライアンス要件を強制するために使用されます。 | Audit、Deny、Disabled | 1.1.0 |
| 許可されるリソースの種類 | このポリシーでは、組織でデプロイできるリソースの種類を指定できるようになります。 このポリシーの影響を受けるのは、'tags' と 'location' をサポートするリソースの種類のみです。 すべてのリソースを制限するには、このポリシーを複製し、'mode' を 'All' に変更してください。 | Audit、Deny、Disabled | 1.1.0 |
| リソースの場所がリソース グループの場所と一致することの監査 | リソースの場所がそのリソース グループの場所と一致することを監査します | Audit、Deny、Disabled | 2.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| サブスクリプションを構成してプレビュー機能を設定する | このポリシーは、既存のサブスクリプションのプレビュー機能を評価します。 サブスクリプションを修復して、新しいプレビュー機能に登録できます。 新しいサブスクリプションが自動的に登録されることはありません。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| リソースの種類の削除を許可しない | このポリシーを使用すると、組織が deny アクションの効果を利用して delete 呼び出しをブロックすることで誤削除を防止するリソースの種類を指定できます。 | DenyAction、Disabled | 1.0.1 |
| M365 リソースを許可しない | M365 リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| MCPP リソースを許可しない | MCPP リソースの作成をブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| 使用コストのリソースを除外する | このポリシーを使用すると、使用量コストリソースを除外できます。 使用コストには、従量制課金ストレージや、使用量に基づいて課金されるAzureリソースなどが含まれます。 | Audit、Deny、Disabled | 1.0.0 |
| 許可されないリソースの種類 | 環境にデプロイできるリソースの種類を制限します。 リソースの種類を制限することで、環境の複雑さと攻撃対象領域を削減しつつ、コストの管理にも役立てるとができます。 コンプライアンス対応の結果は、準拠していないリソースについてのみ表示されます。 | Audit、Deny、Disabled | 2.0.0 |
| リソースを作成または更新するには、ユーザーが多要素認証で認証する必要があります | このポリシー定義は、呼び出し元が MFA を介して認証されていない場合に、リソースの作成操作と更新操作をブロックします。 詳細については、https://aka.ms/mfaforazure を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| リソースを削除するには、ユーザーが多要素認証で認証する必要があります | このポリシー定義は、呼び出し元が MFA を介して認証されていない場合に、リソース削除操作をブロックします。 詳細については、https://aka.ms/mfaforazure を参照してください。 | AuditAction、DenyAction、Disabled | 1.1.0 |
次のステップ
- Azure Policy GitHub リポジトリの組み込みを参照してください。
- Azure Policy定義構造を確認します。
- 「Policy の効果について」を確認します。