Definizioni predefinite di Criteri di Azure per Rete virtuale di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Rete virtuale di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Rete virtuale di Azure
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: Registro Container deve usare un endpoint servizio di rete virtuale | Questo criterio controlla i Registri Azure Container che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0-preview |
È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
Il gateway applicazione di Azure deve essere distribuito con Azure WAF | Richiede che le risorse del gateway applicazione di Azure vengano distribuite con Azure WAF. | Audit, Deny, Disabled | 1.0.0 |
È necessario eseguire la migrazione delle regole classiche di Firewall di Azure a Criteri firewall | Eseguire la migrazione dalle regole classiche di Firewall di Azure ai criteri firewall per usare strumenti di gestione centralizzati, ad esempio Gestione firewall di Azure. | Audit, Deny, Disabled | 1.0.0 |
L'analisi dei criteri di Firewall di Azure deve essere abilitata | L'abilitazione di Analisi dei criteri offre visibilità avanzata sul flusso del traffico attraverso Firewall di Azure, consentendo l'ottimizzazione della configurazione del firewall senza influire sulle prestazioni dell'applicazione | Audit, Disabled | 1.0.0 |
Il Criterio firewall di Azure dovrebbe abilitare Intelligence sulle minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. | Audit, Deny, Disabled | 1.0.0 |
Criteri firewall di Azure deve disporre di un proxy DNS abilitato | Abilitando il Proxy DNS, i firewall di Azure associati a questo criterio saranno in ascolto sulla porta 53 e inoltreranno le richieste DNS al server DNS specificato sopra | Audit, Disabled | 1.0.0 |
Firewall di Azure deve essere distribuito per estendersi su più zone di disponibilità | Per una maggiore possibilità, è consigliabile implementare il Firewall di Azure in modo da essere distribuito in più zone di disponibilità. In questo modo si garantisce che Firewall di Azure rimanga disponibile in caso di errore della zona. | Audit, Deny, Disabled | 1.0.0 |
Firewall di Azure Standard - Le regole classiche devono abilitare l'intelligence sulle minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. | Audit, Deny, Disabled | 1.0.0 |
Firewall di Azure Standard deve essere aggiornato a Premium per la protezione di nuova generazione | Se si sta cercando una protezione di nuova generazione, ad esempio IDPS e ispezione TLS, è consigliabile aggiornare Firewall di Azure allo SKU Premium. | Audit, Deny, Disabled | 1.0.0 |
I gateway VPN di Azure non devono usare lo SKU 'Basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Audit, Disabled | 1.0.0 |
Web application firewall di Azure nel gateway applicazione di Azure deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che i web application firewall associati ai gateway applicazione di Azure dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
Web application firewall di Azure in Frontdoor di Azure deve avere l'ispezione del corpo della richiesta abilitata | Accertarsi che i Web Application Firewall associati ai Front Door di Azure dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
La protezione bot deve essere abilitata per WAF del gateway applicazione di Azure | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) del gateway applicazione di Azure | Audit, Deny, Disabled | 1.0.0 |
La protezione bot deve essere abilitata per Frontdoor di Azure WAF | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) di Frontdoor di Azure | Audit, Deny, Disabled | 1.0.0 |
Configurare le impostazioni di diagnostica per i gruppi di sicurezza di rete di Azure nell'area di lavoro di Log Analytics | Distribuire le impostazioni di diagnostica nei gruppi di sicurezza di rete di Azure per trasmettere i log delle risorse a un'area di lavoro di Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi specifici per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.1 |
Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.2 |
I database Cosmos DB devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i database Cosmos DB che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DeployIfNotExists, Disabled | 1.1.1 |
Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
Abilitare la regola limite di frequenza per proteggere da attacchi DDoS in Frontdoor di Azure WAF | La regola di limite di frequenza di Web application firewall (WAF) di Azure per Frontdoor di Azure controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Audit, Deny, Disabled | 1.0.0 |
Gli hub eventi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli hub eventi che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | rifiutare | 1.0.0 |
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Eseguire la migrazione del WAF dalla configurazione WAF ai criteri WAF nel gateway applicazione | Se si dispone della configurazione WAF anziché dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Audit, Deny, Disabled | 1.0.0 |
Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. Se si imposta l'inoltro IP, il controllo dell'origine e della destinazione per un'interfaccia di rete eseguito in Azure viene disabilitato. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
I log dei flussi di Network Watcher devono avere abilitata l'analisi del traffico | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Audit, Disabled | 1.0.1 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Gli indirizzi IP pubblici e i prefissi IP pubblici devono avere il tag FirstPartyUsage | Verificare che tutti gli indirizzi IP pubblici e i prefissi IP pubblici abbiano un tag FirstPartyUsage. | Audit, Deny, Disabled | 1.0.0 |
I server SQL devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i server SQL che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Le subnet devono essere private | Assicurarsi che le subnet siano protette per impostazione predefinita impedendo l'accesso in uscita predefinito. Per altre informazioni, passare a https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, Disabled | 1.0.0 |
È consigliabile che gli hub virtuali siano protetti con Firewall di Azure | Distribuire un firewall di Azure negli hub virtuali per proteggere e controllare in modo granulare il traffico internet in uscita e in ingresso. | Audit, Deny, Disabled | 1.0.0 |
Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Audit, Deny, Disabled | 1.0.0 |
Le reti virtuali devono essere protette tramite Protezione DDoS di Azure | Proteggere le reti virtuali da attacchi volumetrici e protocolli con Protezione DDoS di Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | AuditIfNotExists, Disabled | 1.0.0 |
I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo le identità di Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il gateway applicazione. | Audit, Deny, Disabled | 1.0.0 |
Web Application Firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il servizio Frontdoor di Azure. | Audit, Deny, Disabled | 1.0.0 |
Tag
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi un tag ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
Aggiungi un tag alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
Add a tag to subscriptions (Aggiungi un tag alle sottoscrizioni) | Aggiunge il tag e il valore specificati alle sottoscrizioni tramite un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
Aggiungi o sostituisci un tag nei gruppi di risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
Aggiungi o sostituisci un tag nelle risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creata o aggiornata una risorsa. È possibile correggere le risorse esistenti attivando un'attività di correzione. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
Add or replace a tag on subscriptions (Aggiungi o sostituisci un tag nelle sottoscrizioni) | Aggiunge o sostituisce il tag e il valore specificati nelle sottoscrizioni tramite un'attività di correzione. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
Aggiungi tag e relativo valore dal gruppo di risorse | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
Aggiungi tag e relativo valore predefinito ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. Non modifica i tag dei gruppi di risorse creati prima dell'applicazione di questo criterio finché tali gruppi di risorse non vengono modificati. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
Aggiungi tag e relativo valore alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Non si applica ai gruppi di risorse. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.1 |
Eredita un tag dal gruppo di risorse | Aggiunge o sostituisce il tag e il valore specificati del gruppo di risorse padre quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
Eredita un tag dal gruppo di risorse se mancante | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse padre quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
Eredita un tag dalla sottoscrizione | Aggiunge o sostituisce il tag e il valore specificati della sottoscrizione che li contiene quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
Eredita un tag dalla sottoscrizione se mancante | Aggiunge il tag specificato con il relativo valore della sottoscrizione che li contiene quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
Richiedi tag e relativo valore per i gruppi di risorse | Impone un tag obbligatorio con il relativo valore ai gruppi di risorse. | rifiutare | 1.0.0 |
Richiedi tag e relativo valore per i gruppi di risorse | Applica un tag obbligatorio e il relativo valore. Non si applica ai gruppi di risorse. | rifiutare | 1.0.1 |
Richiedi tag sui gruppi di risorse | Impone l'esistenza di un tag sui gruppi di risorse. | rifiutare | 1.0.0 |
Richiedi tag sulle risorse | Impone l'esistenza di un tag. Non si applica ai gruppi di risorse. | rifiutare | 1.0.1 |
Generali
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Località consentite | Questi criteri consentono di limitare le posizioni che l'organizzazione può specificare durante la distribuzione delle risorse. Usare per imporre requisiti di conformità geografica. Esclude i gruppi di risorse, Microsoft.AzureActiveDirectory/b2cDirectories e le risorse che usano l'area "global". | rifiutare | 1.0.0 |
Località consentite per i gruppi di risorse | Questi criteri consentono di limitare le località in cui l'organizzazione può creare gruppi di risorse. Usare per imporre requisiti di conformità geografica. | rifiutare | 1.0.0 |
Tipi di risorse consentiti | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può distribuire. Solo i tipi di risorse che supportano i 'tag' e la 'località' saranno interessati dal criterio. Per includere tutte le risorse, duplicare il criterio e modificare la 'modalità' impostandola su 'Tutte'. | rifiutare | 1.0.0 |
Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | controllo | 2.0.0 |
Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
Configurare le sottoscrizioni per configurare le funzionalità di anteprima | Questo criterio valuta le funzionalità di anteprima della sottoscrizione esistente. Le sottoscrizioni possono essere corrette per la registrazione a una nuova funzionalità di anteprima. Le nuove sottoscrizioni non verranno registrate automaticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
Non consentire l'eliminazione dei tipi di risorse | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può proteggere dall'eliminazione accidentale bloccando le chiamate di eliminazione usando l'effetto di negazione dell'azione. | DenyAction, Disabled | 1.0.1 |
Non consentire risorse M365 | Bloccare la creazione di risorse M365. | Audit, Deny, Disabled | 1.0.0 |
Non consentire risorse MCPP | Bloccare la creazione di risorse MCPP. | Audit, Deny, Disabled | 1.0.0 |
Escludere le risorse dei costi di utilizzo | Questo criterio consente di estrarre le risorse dei costi di utilizzo. I costi di utilizzo includono elementi come l'archiviazione a consumo e le risorse di Azure fatturate in base all'utilizzo. | Audit, Deny, Disabled | 1.0.0 |
Tipi di risorse non consentiti | Limitare i tipi di risorse che possono essere distribuiti nell'ambiente in uso. La limitazione dei tipi di risorse può ridurre la complessità e la superficie di attacco dell'ambiente, consentendo allo stesso tempo di gestire i costi. I risultati della conformità vengono visualizzati solo per le risorse non conformi. | Audit, Deny, Disabled | 2.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.