Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página é um índice de definições de política internas Azure Policy para Azure Virtual Network. Para obter Azure Policy internos adicionais para outros serviços, consulte Azure Policy definições internas.
O nome de cada definição de política interna vincula-se à definição de política no portal Azure. Use o link na coluna Version para exibir a origem no repositório Azure Policy GitHub.
Rede Virtual do Azure
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra possíveis ameaças restringindo o acesso a elas com Azure Firewall ou um firewall de próxima geração com suporte | AuditIfNotExists, desabilitado | 3.0.0-preview | |
| [Versão prévia]: o Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita os Registros de Contêiner que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0-preview |
| A política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual Azure | Essa política garante que todas as conexões de gateway de rede virtual Azure usem uma política personalizada de Ipsec (Segurança de Protocolo de Internet)/IKE (Internet Key Exchange). Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 | Audit, desabilitado | 1.0.0 |
| Todos os recursos de log de fluxo devem estar no estado habilitado | Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao aplicativo de sub-redes selecionadas de uma rede virtual Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desabilitado | 2.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Uma auditoria de rede virtual para verificar se os logs de fluxo foram configurados. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio da rede virtual. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| Azure Application Gateway para contêineres devem ter políticas de segurança | Garante que o Application Gateway para Containers tenha pelo menos uma política de segurança configurada | AuditIfNotExists, desabilitado | 1.0.0 |
| Azure Application Gateway deve ser implantado com Azure WAF | Requer que Azure Application Gateway recursos sejam implantados com o WAF Azure. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Firewall Regras Clássicas devem ser migradas para a Política de Firewall | Migre de Azure Firewall Regras Clássicas para a Política de Firewall para utilizar ferramentas de gerenciamento central, como Azure Firewall Manager. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Firewall Policy Analytics deve estar habilitada | Habilitar a Análise de Políticas fornece visibilidade aprimorada do tráfego que flui por meio de Azure Firewall, permitindo a otimização da configuração de firewall sem afetar o desempenho do aplicativo | Audit, desabilitado | 1.0.0 |
| Azure Firewall Policy deve habilitar a Inteligência contra Ameaças | A filtragem contra ameaças baseada em inteligência pode ser habilitada para o seu firewall de forma a alertar e rejeitar o tráfego de/para endereços IP e domínios mal-intencionados. Os endereços IP e os domínios são provenientes do feed Microsoft Inteligência contra Ameaças. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Firewall Policy deve ter o proxy DNS habilitado | Habilitar o Proxy DNS fará com que o Azure Firewall associado a essa política ouça na porta 53 e encaminhe as solicitações DNS para o servidor DNS especificado | Audit, desabilitado | 1.0.0 |
| Azure Firewall deve ser implantado para abranger vários Availability Zones | Para aumentar a disponibilidade, recomendamos implantar seu Azure Firewall para abranger vários Availability Zones. Isso garante que seu Azure Firewall permanecerá disponível no caso de uma falha de zona. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Firewall Standard – Regras clássicas devem habilitar a Inteligência contra Ameaças | A filtragem contra ameaças baseada em inteligência pode ser habilitada para o seu firewall de forma a alertar e rejeitar o tráfego de/para endereços IP e domínios mal-intencionados. Os endereços IP e os domínios são provenientes do feed Microsoft Inteligência contra Ameaças. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Firewall Standard deve ser atualizado para Premium para proteção de próxima geração | Se você estiver procurando proteção de próxima geração, como inspeção de IDPS e TLS, considere atualizar seu Azure Firewall para o SKU Premium. | Audit, Deny, desabilitado | 1.0.0 |
| Azure gateways de VPN não devem usar SKU 'básico' | Essa política garante que os gateways de VPN não usem o SKU "básico". | Audit, desabilitado | 1.0.0 |
| Azure Web Application Firewall no Azure Application Gateway devem ter a inspeção do corpo da solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados a gateways de Azure Application têm a inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Web Application Firewall no Azure Front Door deve ter a inspeção do corpo da solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados ao Azure Front Doors têm a inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. | Audit, Deny, desabilitado | 1.0.0 |
| Azure Web Application Firewall deve ser habilitado para Azure Front Door pontos de entrada | Implante Azure Web Application Firewall (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeções de SQL, script entre sites, execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| Bot Protection deve ser habilitado para Azure Application Gateway WAF | Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (Azure Application Gateway Web Application Firewall) | Audit, Deny, desabilitado | 1.0.0 |
| Bot Protection deve ser habilitado para Azure Front Door WAF | Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (Azure Front Door Web Application Firewall) | Audit, Deny, desabilitado | 1.0.0 |
| configurações de diagnóstico Configure para grupos de segurança de rede Azure Log Analytics workspace | Implante configurações de diagnóstico para Azure Grupos de Segurança de Rede para transmitir logs de recursos para um workspace Log Analytics. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se a política já tiver a análise de tráfego habilitada, ela não substituirá as configurações da análise. Os logs de fluxo também são habilitados para os grupos de segurança de rede que ainda não os têm. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar grupos de segurança de rede para usar o workspace específico, a conta de armazenamento e a política de retenção do log de fluxo para a análise de tráfego | Se a política já tiver a análise de tráfego habilitada, a ela substituirá as configurações existentes da análise por aquelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A Análise de Tráfego e os Logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Essa política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.1.1 |
| Configurar redes virtuais para impor um workspace específico, conta de armazenamento e intervalo de retenção para logs de fluxo e Análise de Tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.1.2 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual Microsoft Azure Cosmos DB | Essa política audita os Cosmos DB que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| Criate central Log Analytics Workspace for VNet Flowlog Traffic Analytics in the specified Resource Group | Crie um workspace de Log Analytics central no Escopo atribuído e em nwtarg-<subscriptionID> por padrão para fluxos de VNet. | DeployIfNotExists, desabilitado | 1.0.0 |
| Criar NetworkWatcher Regional em NetworkWatcherRG para VNet Flowlogs | Essa política cria um Network Watcher na região especificada para habilitar flowlogs para redes virtuais. | DeployIfNotExists, desabilitado | 1.0.0 |
| Criar conta de armazenamento regional para fluxologs de VNet no resourceGroupName RG | Cria uma conta de armazenamento regional no Escopo atribuído e em nwtarg-subscriptionID< do grupo de> recursos por padrão para fluxologs de VNet. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com as redes virtuais de destino | Configura o log de fluxo para uma rede virtual específica. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de uma rede virtual. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. | DeployIfNotExists, desabilitado | 1.1.1 |
| Implantar o observador de rede quando redes virtuais são criadas | Essa política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do observador de rede. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs with Traffic Analytics for VNets with regional Storage and centralized Log Analytics | Implante logs de fluxo de VNet com Análise de Tráfego para VNets com Armazenamento regional e Log Analytics centralizados. Antes da correção, verifique se o grupo de recursos resourceGroupName, a conta de armazenamento, o workspace Log Analytics Network Watcher já estão todos implantados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Enable Rate Limit rule to protect against DDoS attacks on Azure Front Door WAF | A regra de limite de taxa do WAF (Azure Web Application Firewall) para Azure Front Door controla o número de solicitações permitidas de um endereço IP de cliente específico para o aplicativo durante uma duração de limite de taxa. | Audit, Deny, desabilitado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os Hubs de Eventos que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede | Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um grupo de segurança de rede | Essa política negará se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. Atribuir um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | deny | 1.0.0 |
| Key Vault deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita qualquer Key Vault não configurado para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| Migrar o WAF da Configuração do WAF para a Política do WAF no Gateway de Aplicativo | Se você tem uma Configuração WAF, em vez de uma Política do WAF, convém mover para a nova política do WAF. No futuro, a política de firewall dará suporte a configurações de política do WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Audit, Deny, desabilitado | 1.0.0 |
| Os adaptadores de rede devem desabilitar o encaminhamento IP | Essa política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração do encaminhamento de IP desabilita a verificação de Azure da origem e do destino de um adaptador de rede. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Essa política nega as interfaces de rede que são configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem de entrada para Azure recursos e Azure recursos para se comunicarem de saída para a Internet. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| Network Watcher logs de fluxo devem ter a análise de tráfego habilitada | A análise de tráfego analisa logs de fluxo para fornecer insights sobre o fluxo de tráfego em sua nuvem de Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas de Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais. | Audit, desabilitado | 1.0.1 |
| Network Watcher deve ser habilitado | Network Watcher é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede dentro e de Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| IPs públicos e prefixos de IP públicos devem ter a marca FirstPartyUsage | Certifique-se de que todos os endereços IP públicos e prefixos IP públicos tenham uma marca FirstPartyUsage. | Audit, Deny, desabilitado | 1.1.0 |
| SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita qualquer SQL Server não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desabilitado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| As sub-redes devem ser privadas | Verifique se as sub-redes são seguras por padrão, impedindo o acesso de saída padrão. Para obter mais informações, acesse https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, desabilitado | 1.1.0 |
| os Hubs Virtual devem ser protegidos com Azure Firewall | Implante um Azure Firewall em seus Hubs Virtuais para proteger e controlar granularmente o tráfego de saída e entrada da Internet. | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem estar conectadas a uma rede virtual aprovada | Essa política audita as máquinas virtuais que estão conectadas a uma rede virtual que não foi aprovada. | Audit, Deny, desabilitado | 1.0.0 |
| as redes Virtual devem ser protegidas por Azure Proteção contra DDoS | Proteja suas redes virtuais contra ataques de protocolo e volume com Azure Proteção contra DDoS. Para obter mais informações, visite https://aka.ms/ddosprotectiondocs. | Modify, Audit, desabilitado | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Essa política audita as redes virtuais em que a rota padrão não aponta para o gateway de rede virtual especificado. | AuditIfNotExists, desabilitado | 1.0.0 |
| os gateways VPN devem usar apenas a autenticação Azure Active Directory (Azure AD) para usuários ponto a site | Desabilitar métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas Azure Active Directory identidades para autenticação. Saiba mais sobre Azure autenticação do AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, desabilitado | 1.0.0 |
| Web Application Firewall (WAF) deve ser habilitado para o Gateway de Aplicativo | Implante Azure Web Application Firewall (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeções de SQL, script entre sites, execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
| Web Application Firewall (WAF) deve usar o modo especificado para o Gateway de Aplicativo | Determina que o uso do modo "Detecção" ou "Prevenção" esteja ativo em todas as políticas de Web Application Firewall para o Gateway de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Web Application Firewall (WAF) deve usar o modo especificado para Azure Front Door Service | Determina que o uso do modo "Detecção" ou "Prevenção" esteja ativo em todas as políticas de Web Application Firewall para Azure Front Door Service. | Audit, Deny, desabilitado | 1.0.0 |
Tags
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Adicionar uma marca aos grupos de recursos | Adiciona a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Adicionar uma marca aos recursos | Adiciona a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Não modifica tags em grupos de recursos. | modify | 1.0.0 |
| Adicionar uma marca às assinaturas | Adiciona a marca e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. | modify | 1.0.0 |
| Adicionar ou substituir uma marca nos grupos de recursos | Adiciona ou substitui a marca e o valor especificados quando qualquer grupo de recursos é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Adicionar ou substituir uma marca nos recursos | Adiciona ou substitui a marca e o valor especificados quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Não modifica tags em grupos de recursos. | modify | 1.0.0 |
| Adicionar ou substituir uma marca em assinaturas | Adiciona ou substitui a marca e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. | modify | 1.0.0 |
| Acrescentar uma marca e seu valor do grupo de recursos | Acrescenta a marca especificada com seu valor do grupo de recursos quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Acrescentar uma marca e seu valor a grupos de recursos | Acrescenta a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos grupos de recursos criados antes da aplicação dessa política até que esses grupos de recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Acrescentar uma marca e seu valor a recursos | Acrescenta a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Não se aplica a grupos de recursos. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.1 |
| Herdar uma marca do grupo de recursos | Adiciona ou substitui a marca e o valor especificados do grupo de recursos pai quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Herdar uma marca do grupo de recursos, se ela estiver ausente | Adiciona a marca especificada com seu valor do grupo de recursos pai quando qualquer recurso que falta nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Herdar uma marca da assinatura | Adiciona ou substitui a marca e o valor especificados da assinatura que os contém quando algum recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Herdar uma marca da assinatura, se ela estiver ausente | Adiciona a marca especificada com o respectivo valor da assinatura que a contém quando algum recurso que não tem essa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Exigir uma marca e seu valor em grupos de recursos | Impõe uma marca necessária e seu valor em grupos de recursos. | deny | 1.0.0 |
| Exigir uma marca e seu valor em recursos | Impõe uma marca necessária e seu valor. Não se aplica a grupos de recursos. | deny | 1.0.1 |
| Exigir uma marca em grupos de recursos | Aplica a existência de uma marca em grupos de recursos. | deny | 1.0.0 |
| Exigir uma marca em recursos | Aplica a existência de uma marca. Não se aplica a grupos de recursos. | deny | 1.0.1 |
General
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Locais permitidos | Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos. Use para impor seus requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft. AzureActiveDirectory/b2cDirectories e recursos que usam a região 'global'. | Audit, Deny, desabilitado | 1.1.0 |
| Localizações permitidas para grupos de recursos | Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica. | Audit, Deny, desabilitado | 1.1.0 |
| Tipos de recursos permitidos | Essa política permite especificar os tipos de recursos que sua organização pode implantar. Somente os tipos de recursos que dão suporte a "marcas" e "local" serão afetados por essa política. Para restringir todos os recursos, duplique essa política e altere o "modo" para "Todos". | Audit, Deny, desabilitado | 1.1.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do seu grupo de recursos | Audit, Deny, desabilitado | 2.1.0 |
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| Configurar assinaturas para configurar a versão prévia dos recursos | Essa política avalia a versão prévia dos recursos da assinatura existente. As assinaturas podem ser corrigidas para se registrarem em uma versão prévia de um novo recurso. As novas assinaturas não serão registradas automaticamente. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.1 |
| Não permitir a exclusão de tipos de recursos | Essa política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. | DenyAction, Desabilitado | 1.0.1 |
| Não permitir Recursos do M365 | Bloqueie a criação de recursos do M365. | Audit, Deny, desabilitado | 1.0.0 |
| Não permitir recursos do MCPP | Bloqueie a criação de recursos do MCPP. | Audit, Deny, desabilitado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exclua recursos de custos de uso. Os custos de uso incluem itens como armazenamento limitado e recursos Azure que são cobrados com base no uso. | Audit, Deny, desabilitado | 1.0.0 |
| Tipos de recursos não permitidos | Restrinja os tipos de recursos que poderão ser implantados em seu ambiente. Limitar os tipos de recursos poderá reduzir a complexidade e a superfície de ataque do ambiente, enquanto também ajuda a gerenciar custos. Os resultados de conformidade serão mostrados somente para recursos não compatíveis. | Audit, Deny, desabilitado | 2.0.0 |
| Os usuários devem autenticar com autenticação multifator para criar ou atualizar recursos | Essa definição de política bloqueia as operações de criação e atualização de recursos quando o chamador não é autenticado via MFA. Para obter mais informações, visite https://aka.ms/mfaforazure. | Audit, Deny, desabilitado | 1.1.0 |
| Os usuários devem autenticar com autenticação multifator para excluir recursos | Essa definição de política bloqueia as operações de exclusão de recursos quando o chamador não é autenticado via MFA. Para obter mais informações, visite https://aka.ms/mfaforazure. | Ação de Auditoria, Ação de Negar, Desativado | 1.1.0 |
Próximas etapas
- Consulte os internos no repositório Azure Policy GitHub.
- Examine a estrutura de definição Azure Policy.
- Revisar Compreendendo os efeitos da política.