Integrierte Azure Policy-Definitionen für Azure Virtual Network
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Virtual Network. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Virtuelles Azure-Netzwerk
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
[Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. | Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0-preview |
Eine benutzerdefinierte IPSec-/IKE-Richtlinie muss auf alle Gatewayverbindungen in virtuellen Azure-Netzwerken angewendet werden | Mit dieser Richtlinie wird sichergestellt, dass alle Gatewayverbindungen in virtuellen Azure-Netzwerken eine benutzerdefinierte Richtlinie für IPsec (Internetprotokollsicherheit) und IKE (Internetschlüsselaustausch) verwenden. Informationen zu unterstützten Algorithmen und Schlüsselstärken finden Sie unter https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
Alle Datenflussprotokollressourcen sollten aktiviert sein | Hiermit werden Datenflussprotokollressourcen überwacht, um zu überprüfen, ob der Datenflussprotokollstatus aktiviert ist. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.0.1 |
App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden | Verwenden Sie virtuelle Netzwerkdienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service Dienstendpunkten finden Sie unter https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
Konfiguration für Datenflussprotokolle für jedes virtuelle Netzwerk konfigurieren | Hiermit werden virtuelle Netzwerke überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch das virtuelle Netzwerk fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.0.1 |
Azure Application Gateway sollte mit Azure WAF bereitgestellt werden | Erfordert, dass Azure Application Gateway-Ressourcen mit Azure WAF bereitgestellt werden. | Audit, Deny, Disabled | 1.0.0 |
Klassische Azure Firewall-Regeln sollten zu Firewallrichtlinien migriert werden | Migrieren Sie von klassischen Azure Firewall-Regeln zu Firewallrichtlinien, um zentrale Verwaltungstools wie Azure Firewall Manager zu nutzen. | Audit, Deny, Disabled | 1.0.0 |
Die Richtlinienanalyse für Azure Firewall sollte aktiviert werden. | Das Aktivieren der Richtlinienanalyse bietet einen verbesserten Einblick in den Datenverkehr, der über Azure Firewall fließt, wodurch Sie Ihre Firewallkonfiguration ohne Auswirkungen auf die Anwendungsleistung optimieren können. | Audit, Disabled | 1.0.0 |
Azure Firewall-Richtlinien sollten Threat Intelligence aktivieren. | Das Filtern auf Basis von Threat Intelligence kann für Ihre Firewall aktiviert werden, damit diese Sie bei Datenverkehr von und zu bekannten schädlichen IP-Adressen oder Domänen warnt und diesen verweigert. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. | Audit, Deny, Disabled | 1.0.0 |
Für Azure Firewall-Richtlinien sollte der DNS-Proxy aktiviert sein. | Durch Aktivieren des DNS-Proxys lauschen die dieser Richtlinie zugeordneten Azure Firewall-Instanzen an Port 53 und leiten DNS-Anforderungen an den angegebenen DNS-Server weiter. | Audit, Disabled | 1.0.0 |
Azure Firewall sollte über mehrere Verfügbarkeitszonen bereitgestellt werden. | Für eine verbesserte Verfügbarkeit wird empfohlen, Ihre Azure Firewall-Instanz über mehrere Verfügbarkeitszonen bereitzustellen. Dadurch wird sichergestellt, dass Ihre Azure Firewall-Instanz im Fall eines Zonenausfalls verfügbar bleibt. | Audit, Deny, Disabled | 1.0.0 |
Azure Firewall Standard – Klassische Regeln sollten Threat Intelligence aktivieren. | Das Filtern auf Basis von Threat Intelligence kann für Ihre Firewall aktiviert werden, damit diese Sie bei Datenverkehr von und zu bekannten schädlichen IP-Adressen oder Domänen warnt und diesen verweigert. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. | Audit, Deny, Disabled | 1.0.0 |
Azure Firewall Standard sollte für den Schutz der nächsten Generation auf Premium aktualisiert werden. | Wenn Sie Schutz der nächsten Generation wie IDPS und TLS-Untersuchung erhalten möchten, sollten Sie ein Upgrade Ihrer Azure Firewall-Instanz auf die Premium-SKU in Betracht ziehen. | Audit, Deny, Disabled | 1.0.0 |
Azure-VPN-Gateways dürfen nicht die SKU „Basic“ verwenden | Diese Richtlinie stellt sicher, dass für VPN-Gateways nicht die SKU „Basic“ verwendet wird. | Audit, Disabled | 1.0.0 |
Bei Azure Web Application Firewall auf Azure Application Gateway sollte die Überprüfung der Anforderungsstellen aktiviert sein | Stellen Sie sicher, dass für Web Application Firewalls, die Azure Application Gateways zugeordnet sind, die Anforderungstextprüfung aktiviert ist. Dadurch kann die WAF Eigenschaften innerhalb des HTTP-Textkörpers überprüfen, die möglicherweise nicht in den HTTP-Headern, Cookies oder URI ausgewertet werden. | Audit, Deny, Disabled | 1.0.0 |
Bei Azure Web Application Firewall auf Azure Front Door sollte die Überprüfung der Anforderungsstellen aktiviert sein | Stellen Sie sicher, dass für Web Application Firewalls, die Azure Front Doors zugeordnet sind, die Anforderungstextprüfung aktiviert ist. Dadurch kann die WAF Eigenschaften innerhalb des HTTP-Textkörpers überprüfen, die möglicherweise nicht in den HTTP-Headern, Cookies oder URI ausgewertet werden. | Audit, Deny, Disabled | 1.0.0 |
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
Bot-Schutz sollte für das WAF von Azure Application Gateway aktiviert sein | Diese Richtlinie stellt sicher, dass der Bot-Schutz in allen Azure Application Gateway WAF-Richtlinien (Web Application Firewall) aktiviert ist | Audit, Deny, Disabled | 1.0.0 |
Bot-Schutz sollte für Azure Front Door WAF aktiviert sein | Diese Richtlinie stellt sicher, dass der Botschutz in allen Azure Front Door WAF-Richtlinien (Web Application Firewall) aktiviert ist. | Audit, Deny, Disabled | 1.0.0 |
Diagnoseeinstellungen für Azure-Netzwerksicherheitsgruppen für Log Analytics-Arbeitsbereich konfigurieren | Stellen Sie Diagnoseeinstellungen für Azure-Netzwerksicherheitsgruppen bereit, um Ressourcenprotokolle in einen Log Analytics-Arbeitsbereich zu streamen. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Netzwerksicherheitsgruppen zum Aktivieren von Traffic Analytics | Traffic Analytics kann für alle Netzwerksicherheitsgruppen aktiviert werden, die in einer bestimmten Region gehostet werden, wobei die Einstellungen während der Richtlinienerstellung bereitgestellt werden. Wenn Traffic Analytics bereits aktiviert ist, überschreibt die Richtlinie ihre Einstellungen nicht. Datenflussprotokolle sind ebenfalls für die Netzwerksicherheitsgruppen aktiviert, die nicht über diese verfügen. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.2.0 |
Konfigurieren von Netzwerksicherheitsgruppen für die Verwendung von bestimmten Arbeitsbereiche, Speicherkonten und Aufbewahrungsrichtlinien für Datenflussprotokolle für Datenverkehrsanalysen | Wenn Traffic Analytics bereits aktiviert ist, überschreibt die Richtlinie die vorhandenen Einstellungen mit denen, die bei der Erstellung der Richtlinie angegeben wurden. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.2.0 |
Konfigurieren des virtuellen Netzwerks, um Datenflussprotokolle und Traffic Analytics zu aktivieren | Traffic Analytics und Datenflussprotokolle können für alle virtuellen Netzwerke aktiviert werden, die in einer bestimmten Region gehostet werden, und bei denen die Einstellungen während der Richtlinienerstellung angegeben werden. Diese Richtlinie überschreibt nicht die aktuelle Einstellung für virtuelle Netzwerke, für die diese Funktion bereits aktiviert ist. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.1.1 |
Konfigurieren von virtuellen Netzwerken zum Erzwingen von bestimmten Arbeitsbereichen, Speicherkonten und Aufbewahrungsintervallen für Datenflussprotokolle und Traffic Analytics | Wenn Traffic Analytics bereits für ein virtuelles Netzwerk aktiviert ist, überschreibt diese Richtlinie die vorhandenen Einstellungen mit den Einstellungen, die während der Richtlinienerstellung bereitgestellt werden. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, Disabled | 1.1.2 |
Cosmos DB sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
Ressource für Datenflussprotokolle mit Netzwerksicherheitsgruppe für Ziel bereitstellen | Hiermit wird das Datenflussprotokoll für eine bestimmte Netzwerksicherheitsgruppe konfiguriert. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine Netzwerksicherheitsgruppe fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. | deployIfNotExists | 1.1.0 |
Bereitstellen einer Datenflussprotokollressource mit virtuellem Zielnetzwerk | Konfiguriert das Datenflussprotokoll für ein bestimmtes virtuelles Netzwerk. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine virtuelles Netzwerk fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. | DeployIfNotExists, Disabled | 1.1.1 |
Beim Erstellen virtueller Netzwerke Network Watcher bereitstellen | Diese Richtlinie erstellt eine Network Watcher-Ressource in Regionen mit virtuellen Netzwerken. Sie müssen sicherstellen, dass eine Ressourcengruppe namens „networkWatcherRG“ vorhanden ist, die zum Bereitstellen von Network Watcher-Instanzen verwendet wird. | Auswirkung „DeployIfNotExists“ | 1.0.0 |
Aktivieren der Ratenbegrenzungsregel zum Schutz vor DDoS-Angriffen auf Azure Front Door WAF | Die Azure-WAF-Ratenbegrenzungsregel (Web Application Firewall) für Azure Front Door steuert die Anzahl der Anforderungen, die von einer bestimmten Client-IP-Adresse während der Dauer einer Ratenbegrenzung an die Anwendung zulässig sind. | Audit, Deny, Disabled | 1.0.0 |
Event Hub sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert sein | Hiermit werden Netzwerksicherheitsgruppen überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, Disabled | 1.1.0 |
Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden | Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. | deny | 1.0.0 |
Key Vault sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
Migrieren von WAF zu WAF-Konfiguration zu WAF-Richtlinie auf Application Gateway | Wenn Sie über WAF Config anstatt von WAF-Richtlinie verfügen, sollten Sie in Erwägung ziehen, zu der neuen WAF-Richtlinie zu wechseln. In Zukunft unterstützt die Firewallrichtlinie WAF-Richtlinieneinstellungen, verwaltete Regelsätze, Ausschlüsse und deaktivierte Regelgruppen. | Audit, Deny, Disabled | 1.0.0 |
Netzwerkschnittstellen müssen die IP-Weiterleitung deaktivieren | Diese Richtlinie lehnt Netzwerkschnittstellen ab, für die die IP-Weiterleitung aktiviert ist. Durch die Aktivierung der IP-Weiterleitung wird die Azure-Überprüfung von Quelle und Ziel für eine Netzwerkschnittstelle deaktiviert. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. | deny | 1.0.0 |
Netzwerkschnittstellen dürfen keine öffentlichen IP-Adressen aufweisen | Diese Richtlinie lehnt Netzwerkschnittstellen ab, die mit einer öffentlichen IP-Adresse konfiguriert sind. Anhand öffentlicher IP-Adressen können Internetressourcen in eingehender Richtung mit Azure-Ressourcen und Azure-Ressourcen in ausgehender Richtung mit dem Internet kommunizieren. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. | deny | 1.0.0 |
Für Network Watcher-Datenflussprotokolle sollte Traffic Analytics aktiviert sein. | Datenverkehrsanalysen analysieren Datenflussprotokolle, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Es kann verwendet werden, um Netzwerkaktivitäten in Ihren Azure-Abonnements zu visualisieren, Hotspots und Sicherheitsbedrohungen zu identifizieren, Datenverkehrsflussmuster zu verstehen, Fehlkonfigurationen im Netzwerk zu ermitteln und vieles mehr. | Audit, Disabled | 1.0.1 |
Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
Öffentliche IPs und öffentliche IP-Präfixe sollten über das FirstPartyUsage-Tag verfügen | Stellen Sie sicher, dass alle öffentlichen IP-Adressen und öffentlichen IP-Präfixe über ein FirstPartyUsage-Tag verfügen. | Audit, Deny, Disabled | 1.0.0 |
SQL Server sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle SQL Server-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | AuditIfNotExists, Disabled | 1.0.0 |
Speicherkonten sollten einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
Subnetze sollten privat sein | Stellen Sie sicher, dass Ihre Subnetze standardmäßig sicher sind, indem Sie den ausgehenden Standardzugriff verhindern. Weitere Informationen finden Sie unter https://aka.ms/defaultoutboundaccessretirement. | Audit, Deny, Disabled | 1.0.0 |
Virtuelle Hubs sollten durch Azure Firewall geschützt werden. | Stellen Sie Azure Firewall für Ihre virtuellen Hubs bereit, um ausgehenden und eingehenden Internetdatenverkehr zu schützen und präzise zu steuern. | Audit, Deny, Disabled | 1.0.0 |
Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein | Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. | Audit, Deny, Disabled | 1.0.0 |
Virtuelle Netzwerke müssen durch Azure DDoS Protection geschützt werden | Schützen Sie Ihre virtuellen Netzwerke mit Azure DDoS Protection vor volumetrischen Angriffen und Protokollangriffen. Weitere Informationen finden Sie unter https://aka.ms/ddosprotectiondocs. | Modify, Audit, Disabled | 1.0.1 |
Virtuelle Netzwerke müssen ein angegebenes Gateway für virtuelle Netzwerke verwenden | Diese Richtlinie überwacht alle virtuellen Netzwerke, wenn die Standardroute nicht auf das angegebene Gateway für virtuelle Netzwerke zeigt. | AuditIfNotExists, Disabled | 1.0.0 |
VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzer verwenden | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Web Application Firewall (WAF) muss den angegebenen Modus für Application Gateway verwenden. | Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Application Gateway aktiv ist. | Audit, Deny, Disabled | 1.0.0 |
Web Application Firewall (WAF) muss den angegebenen Modus für Azure Front Door Service verwenden. | Legt fest, dass die Verwendung des Modus „Erkennung“ oder „Prävention“ für alle Web Application Firewall-Richtlinien für Azure Front Door Service aktiv ist. | Audit, Deny, Disabled | 1.0.0 |
Tags
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Tag zu Ressourcengruppen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
Tag zu Ressourcen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Tags für Ressourcengruppen werden nicht geändert. | modify | 1.0.0 |
Tag zu Abonnements hinzufügen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
Tag für Ressourcengruppen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. | modify | 1.0.0 |
Tag für Ressourcen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Tags für Ressourcengruppen werden nicht geändert. | modify | 1.0.0 |
Tag für Abonnements hinzufügen oder ersetzen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu oder ersetzt diese. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
Tag und zugehörigen Wert aus der Ressourcengruppe anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert aus der Ressourcengruppe angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
Tag und zugehörigen Wert an Ressourcengruppen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcengruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
Tag und zugehörigen Wert an Ressourcen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Dies gilt nicht für Ressourcengruppen. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.1 |
Tag von der Ressourcengruppe erben | Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. | modify | 1.0.0 |
Tag von der Ressourcengruppe erben, falls nicht vorhanden | Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
Tag vom Abonnement erben | Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. | modify | 1.0.0 |
Tag vom Abonnement erben, falls nicht vorhanden | Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
Tag und zugehöriger Wert für Ressourcengruppen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert für Ressourcengruppen. | deny | 1.0.0 |
Tag und zugehöriger Wert für Ressourcen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert. Dies gilt nicht für Ressourcengruppen. | deny | 1.0.1 |
Tag für Ressourcengruppen erforderlich | Hiermit wird das Vorhandensein eines Tags für Ressourcengruppen erzwungen. | deny | 1.0.0 |
Tag für Ressourcen erforderlich | Erzwingt das Vorhandensein eines Tags. Dies gilt nicht für Ressourcengruppen. | deny | 1.0.1 |
Allgemein
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Zulässige Speicherorte | Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. Schließt Ressourcengruppen, Microsoft.AzureActiveDirectory/b2c-Verzeichnisse und Ressourcen aus, die die Region „global“ verwenden. | deny | 1.0.0 |
Zulässige Standorte für Ressourcengruppen | Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. | deny | 1.0.0 |
Zulässige Ressourcentypen | Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation bereitstellen kann. Diese Richtlinie gilt nur für Ressourcentypen, die „tags“ und „location“ unterstützen. Um alle Ressourcen einzuschränken, duplizieren Sie diese Richtlinie und ändern den Wert für „mode“ in „All“. | deny | 1.0.0 |
Übereinstimmung des Standorts von Ressource und Ressourcengruppe überwachen | Hiermit wird überwacht, ob der Standort der Ressource mit dem Standort der Ressourcengruppe übereinstimmt. | Überwachung | 2.0.0 |
Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
Abonnements zum Einrichten von Previewfunktionen konfigurieren | Diese Richtlinie wertet die Previewfunktionen eines vorhandenen Abonnements aus. Abonnements können korrigiert werden, um bei einer neuen Previewfunktion registriert zu werden. Neue Abonnements werden nicht automatisch registriert. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
Das Löschen von Ressourcentypen nicht zulassen | Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation vor versehentlichem Löschen schützen kann, indem Sie Löschaufrufe mithilfe von Verweigerungsaktionseffekten blockieren. | DenyAction, Deaktiviert | 1.0.1 |
M365-Ressourcen nicht zulassen | Blockieren der Erstellung von M365-Ressourcen. | Audit, Deny, Disabled | 1.0.0 |
MCPP-Ressourcen nicht zulassen | Blockieren der Erstellung von MCPP-Ressourcen. | Audit, Deny, Disabled | 1.0.0 |
Ausschließen von Ressourcen für Nutzungskosten | Mit dieser Richtlinie können Sie Ressourcen für Nutzungskosten ausschließen. Zu den Nutzungskosten gehören Dinge wie gebührenpflichtiger Speicher und Azure-Ressourcen, die nutzungsabhängig abgerechnet werden. | Audit, Deny, Disabled | 1.0.0 |
Nicht zulässige Ressourcentypen | Schränken Sie ein, welche Ressourcentypen in Ihrer Umgebung bereitgestellt werden können. Durch das Einschränken von Ressourcentypen können Sie die Komplexität und Angriffsfläche Ihrer Umgebung verringern und gleichzeitig die Kosten kontrollieren. Konformitätsergebnisse werden nur für nicht konforme Ressourcen angezeigt. | Audit, Deny, Disabled | 2.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.