Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas incorporadas Azure Policy para Azure Virtual Network. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Rede Virtual do Azure
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| O Azure Security Center identificou que algumas das suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja as suas sub-redes de potenciais ameaças restringindo o acesso a elas com o Azure Firewall ou um firewall de próxima geração suportado | AuditIfNotExists, desativado | 3.0.0-pré-visualização | |
| [Preview]: O Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Registro de Contêiner não configurado para usar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0-preview |
| Uma política personalizada de IPsec/IKE deve ser aplicada a todas as Azure conexões de gateway de rede virtual | Esta política garante que todas as ligações de gateway de rede virtual do Azure utilizam uma política personalizada de Segurança de Protocolo de Internet (Ipsec)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Modo de Auditoria, Desativado | 1.0.0 |
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use endpoints de serviço de rede virtual para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual do Azure. Para saber mais sobre os pontos de extremidade do serviço de aplicativo, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
| Azure Application Gateway para contentores deve ter políticas de segurança | Assegura que o Application Gateway for Containers tem pelo menos uma política de segurança configurada | AuditIfNotExists, desativado | 1.0.0 |
| Azure Application Gateway deve ser destacado com Azure WAF | Requer que os recursos do Azure Application Gateway sejam implementados com o Azure WAF. | Auditoria, Negar, Desativado | 1.0.0 |
| As Regras Clássicas Azure Firewall devem ser migradas para Política de Firewall | Migre do Azure Firewall Classic Rules para o Firewall Policy para utilizar ferramentas de gestão central como o Azure Firewall Manager. | Auditoria, Negar, Desativado | 1.0.0 |
| A Análise de Políticas Azure Firewall deve estar ativada | Ativar a Análise de Políticas proporciona uma visibilidade melhorada do tráfego que passa pelo Azure Firewall, permitindo a otimização da configuração do firewall sem afetar o desempenho da aplicação | Modo de Auditoria, Desativado | 1.0.0 |
| Azure Firewall Política deve permitir a Inteligência de Ameaças | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os endereços IP e domínios são obtidos a partir do feed de Inteligência de Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| A política Azure Firewall deve ter o Proxy DNS ativado | Ativar o DNS Proxy fará com que o Azure Firewall associado a esta política escute na porta 53 e encaminhe os pedidos DNS para o servidor DNS especificado | Modo de Auditoria, Desativado | 1.0.0 |
| Azure Firewall deve ser implementado para abranger múltiplos Availability Zones | Para aumentar a disponibilidade, recomendamos implementar o seu Azure Firewall para abranger múltiplas Availability Zones. Isto garante que o seu Azure Firewall permanecerá disponível em caso de falha de zona. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Firewall Padrão - As Regras Clássicas devem permitir a Inteligência de Ameaças | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os endereços IP e domínios são obtidos a partir do feed de Inteligência de Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Firewall Standard deve ser atualizado para Premium para proteção de próxima geração | Se procura proteção de próxima geração como a inspeção IDPS e TLS, deve considerar atualizar o seu Azure Firewall para um SKU Premium. | Auditoria, Negar, Desativado | 1.0.0 |
| Esta política garante que os gateways VPN não usem SKU 'básico'. | Modo de Auditoria, Desativado | 1.0.0 | |
| Azure Web Application Firewall no Azure Application Gateway deve ter ativado o pedido de inspeção corporal | Certifique-se de que as Firewalls de Aplicações Web associadas aos Azure Application Gateways têm a inspeção do corpo de pedidos ativada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Web Application Firewall no Azure Front Door deve ter ativado o pedido de inspeção corporal | Certifique-se de que os Firewalls de Aplicações Web associados ao Azure Front Doors têm a inspeção do corpo de pedidos ativada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
| Azure Web Application Firewall deve estar ativado para Azure Front Door pontos de entrada | Implemente o Azure Web Application Firewall (WAF) à frente de aplicações web públicas para uma inspeção adicional do tráfego recebido. O Web Application Firewall (WAF) oferece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, como injeções SQL, Cross-Site Scripting, execuções locais e remotas de ficheiros. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| Bot Protection deve estar ativada para Azure Application Gateway WAF | Esta política assegura que a proteção contra bots está ativada em todas as políticas de Azure Application Gateway Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| Proteção contra Bots deve estar ativada para Azure Front Door WAF | Esta política assegura que a proteção contra bots está ativada em todas as políticas de Azure Front Door Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
| Configurar as definições de diagnóstico para Azure Grupos de Segurança de Rede para Log Analytics espaço de trabalho | Implemente as definições de diagnóstico para os Grupos de Segurança de Rede Azure para transmitir registos de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se já tiver a análise de tráfego ativada, a política não substituirá suas configurações. Os Logs de Fluxo também estão habilitados para os grupos de segurança de Rede que não os têm. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar grupos de segurança de rede para usar espaço de trabalho, conta de armazenamento e política de retenção de fluxolog específicos para análise de tráfego | Se já tiver a análise de tráfego habilitada, a política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A análise de tráfego e os logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Esta política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.1 |
| Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.2 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cosmos DB não configurado para usar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
| Create Central Log Analytics Workspace para VNet Flowlog Traffic Analytics no Grupo de Recursos especificado | Crie um espaço de trabalho central Log Analytics no Âmbito atribuído e em Grupo de Recursos nwtarg-<subscriptionID> por defeito para fluxos VNet. | DeployIfNotExists, desativado | 1.0.0 |
| Criar Regional NetworkWatcher no NetworkWatcherRG para registos de fluxo VNet | Esta política cria um Network Watcher na região especificada para ativar Flowlogs para Redes Virtuais. | DeployIfNotExists, desativado | 1.0.0 |
| Criar Conta Regional de Armazenamento para Fluxos VNet em resourceGroupName RG | Cria uma Conta de Armazenamento regional no Âmbito atribuído e no grupo de recursos nwtarg-subscriptionID<> por defeito para fluxos VNet. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Ele permitirá registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com a rede virtual de destino | Configura o log de fluxo para uma rede virtual específica. Ele permitirá registrar informações sobre o tráfego IP fluindo através de uma rede virtual. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | DeployIfNotExists, desativado | 1.1.1 |
| Implantar o inspetor de rede quando redes virtuais são criadas | Esta política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do inspetor de rede. | DeployIfNotExists | 1.0.0 |
| Implemente os VNet Flow Logs com Traffic Analytics para VNets, com armazenamento regional e Log Analytics centralizado. Antes da remediação, certifique-se de que o resourceGroupName, Resource Group, Storage Account, Log Analytics Workspace e Network Watcher já estão todos implementados. | DeployIfNotExists, desativado | 1.0.0 | |
| Regra |
A regra do limite de taxa do Azure Web Application Firewall (WAF) para o Azure Front Door controla o número de pedidos permitidos de um determinado endereço IP de cliente para a aplicação durante um limite de taxa. | Auditoria, Negar, Desativado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Hub de Eventos não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um security group de rede | Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | deny | 1.0.0 |
| Key Vault deve usar um endpoint de serviço de rede virtual | Esta política audita qualquer Key Vault não configurado para usar um endpoint de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
| Migrar o WAF da configuração do WAF para a política do WAF no Application Gateway | Se você tiver WAF Config em vez de WAF Policy, então você pode querer mover para a nova WAF Policy. No futuro, a política de firewall suportará configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Auditoria, Negar, Desativado | 1.0.0 |
| As interfaces de rede devem desativar o encaminhamento IP | Esta política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração do encaminhamento IP desativa a verificação da Azure sobre a origem e o destino para uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Esta política nega as interfaces de rede configuradas com qualquer IP público. Endereços IP públicos permitem que recursos da internet comuniquem de entrada para recursos Azure, e que recursos Azure comuniquem de saída para a internet. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| Os registos de fluxo Network Watcher devem ter a análise de tráfego ativada | A análise de tráfego analisa os registos de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem Azure. Pode ser usado para visualizar a atividade da rede nas suas subscrições do Azure e identificar pontos quentes, identificar ameaças de segurança, compreender padrões de fluxo de tráfego, identificar configurações incorretas da rede e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
| Network Watcher deve estar ativado | O Network Watcher é um serviço regional que lhe permite monitorizar e diagnosticar condições ao nível de um cenário de rede em, para e a partir do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| IPs públicos e prefixos de IP público devem ter a tag FirstPartyUsage | Verifique se todos os endereços IP públicos e prefixos IP públicos têm uma tag FirstPartyUsage. | Auditoria, Negar, Desativado | 1.1.0 |
| SQL Server deve usar um endpoint de serviço de rede virtual | Esta política audita qualquer SQL Server que não esteja configurado para usar um endpoint de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
| As sub-redes devem ser privadas | Certifique-se de que suas sub-redes estejam seguras por padrão, impedindo o acesso de saída padrão. Para obter mais informações, aceda a https://aka.ms/defaultoutboundaccessretirement | Auditoria, Negar, Desativado | 1.1.0 |
| Os Hubs Virtuais devem ser protegidos com Azure Firewall | Implemente um Azure Firewall nos seus Hubs Virtuais para proteger e controlar detalhadamente o tráfego de saída e entrada da internet. | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
| As redes virtuais devem ser protegidas por Azure Proteção DDoS | Proteja as suas redes virtuais contra ataques volumétricos e de protocolo com o Azure DDoS Protection. Para mais informações, visite https://aka.ms/ddosprotectiondocs. | Modificar, Auditar, Desativar | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
| Gateways VPN devem usar apenas autenticação Azure Active Directory (Azure AD) para utilizadores point-to-site | Desativar métodos locais de autenticação melhora a segurança ao garantir que os Gateways VPN utilizam apenas identidades do Azure Active Directory para autenticação. Saiba mais sobre autenticação Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
| Web Application Firewall (WAF) deve estar ativado para Application Gateway | Implemente o Azure Web Application Firewall (WAF) à frente de aplicações web públicas para uma inspeção adicional do tráfego recebido. O Web Application Firewall (WAF) oferece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, como injeções SQL, Cross-Site Scripting, execuções locais e remotas de ficheiros. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Deteção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
| Web Application Firewall (WAF) deve usar o modo especificado para Azure Front Door Service | Exige que o uso do modo 'Deteção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Tags
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Adicionar uma etiqueta a grupos de recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modify | 1.0.0 |
| Adicionar uma etiqueta a recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. Não modifica as etiquetas nos grupos de recursos. | modify | 1.0.0 |
| Adicionar uma etiqueta a subscrições | Adiciona a tag e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a etiqueta existir com um valor diferente, não será alterada. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modify | 1.0.0 |
| Adicionar ou substituir uma etiqueta em grupos de recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modify | 1.0.0 |
| Adicionar ou substituir uma etiqueta em recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Não modifica as etiquetas nos grupos de recursos. | modify | 1.0.0 |
| Adicionar ou substituir uma etiqueta em subscrições | Adiciona ou substitui a tag e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modify | 1.0.0 |
| Anexar uma etiqueta e o seu valor a partir do grupo de recursos | Anexa a etiqueta especificada com o respetivo valor a partir do grupo de recursos quando cria ou atualiza um recurso sem esta etiqueta. Não modifica as etiquetas de recursos criados antes de esta política ser aplicada até esses recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Anexar uma etiqueta e o seu valor a grupos de recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Não modifica as etiquetas de grupos de recursos criados antes de esta política ser aplicada até esses grupos de recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Anexar uma etiqueta e o seu valor a recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza quaisquer recursos sem esta etiqueta. Não modifica as etiquetas de recursos criados antes de esta política ser aplicada até esses recursos serem alterados. Não é aplicável a grupos de recursos. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | acrescentar | 1.0.1 |
| Herdar uma etiqueta do grupo de recursos | Adiciona ou substitui a etiqueta e o valor especificados do grupo de recursos principal quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modify | 1.0.0 |
| Herdar uma etiqueta do grupo de recursos se estiver em falta | Adiciona a etiqueta especificada com o respetivo valor a partir do grupo de recursos principal quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modify | 1.0.0 |
| Herdar uma etiqueta da subscrição | Adiciona ou substitui a etiqueta e o valor especificados da subscrição quando cria ou atualiza um recurso. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modify | 1.0.0 |
| Herdar uma etiqueta da subscrição se estiver em falta | Adiciona a etiqueta especificada com o respetivo valor a partir da subscrição quando cria ou atualiza um recurso sem esta etiqueta. Os recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modify | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em grupos de recursos | Impõe uma etiqueta necessária e o respetivo valor aos grupos de recursos. | deny | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em recursos | Impõe uma etiqueta necessária e o respetivo valor. Não é aplicável a grupos de recursos. | deny | 1.0.1 |
| Exigir uma etiqueta em grupos de recursos | Impõe a existência de uma etiqueta em grupos de recursos. | deny | 1.0.0 |
| Exigir uma etiqueta nos recursos | Impõe a existência de uma etiqueta. Não é aplicável a grupos de recursos. | deny | 1.0.1 |
General
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Localizações permitidas | Esta política permite-lhe restringir as localizações que a sua organização pode especificar ao implementar recursos. Utilize para impor os requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft. AzureActiveDirectory/b2cDirectories, e recursos que utilizam a região 'global'. | Auditoria, Negar, Desativado | 1.1.0 |
| Locais permitidos para grupos de recursos | Esta política permite-lhe restringir as localizações em que a sua organização pode criar grupos de recursos. Utilize para impor os requisitos de conformidade geográfica. | Auditoria, Negar, Desativado | 1.1.0 |
| Tipos de recursos permitidos | Essa política permite especificar os tipos de recursos que sua organização pode implantar. Apenas os tipos de recursos que suportam 'tags' e 'localização' serão afetados por esta política. Para restringir todos os recursos, por favor duplique esta política e altere o 'modo' para 'Todos'. | Auditoria, Negar, Desativado | 1.1.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do grupo de recursos | Auditoria, Negar, Desativado | 2.1.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Modo de Auditoria, Desativado | 1.0.1 |
| Configurar subscrições para configurar funcionalidades de pré-visualização | Esta política avalia os recursos de visualização da assinatura existente. As subscrições podem ser corrigidas para se registarem numa nova funcionalidade de pré-visualização. As novas subscrições não serão registadas automaticamente. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| Não permitir a exclusão de tipos de recursos | Esta política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. | DenyAction, desativado | 1.0.1 |
| Não permitir recursos M365 | Criação de blocos de recursos M365. | Auditoria, Negar, Desativado | 1.0.0 |
| Não permitir recursos MCPP | Bloquear a criação de recursos MCPP. | Auditoria, Negar, Desativado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exlcude Recursos de Custos de Uso. Os custos de utilização incluem coisas como armazenamento medido e recursos do Azure, que são faturados com base no uso. | Auditoria, Negar, Desativado | 1.0.0 |
| Tipos de recursos não permitidos | Restrinja quais tipos de recursos podem ser implantados em seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente e, ao mesmo tempo, ajudar a gerenciar custos. Os resultados de conformidade são mostrados apenas para recursos não compatíveis. | Auditoria, Negar, Desativado | 2.0.0 |
| Os usuários devem se autenticar com autenticação multifator para criar ou atualizar recursos | Esta definição de política bloqueia operações de criação e atualização de recursos quando o chamador não é autenticado via MFA. Para mais informações, visite https://aka.ms/mfaforazure. | Auditoria, Negar, Desativado | 1.1.0 |
| Os usuários devem se autenticar com autenticação multifator para excluir recursos | Esta definição de política bloqueia operações de exclusão de recursos quando o chamador não é autenticado via MFA. Para mais informações, visite https://aka.ms/mfaforazure. | AuditAction, DenyAction, Desativado | 1.1.0 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos do Policy.