Definizioni predefinite di Criteri di Azure per Backup di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Backup di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Backup di Azure
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: gli insiemi di credenziali di Servizi di ripristino di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'insieme di credenziali dei servizi di ripristino non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'insieme di credenziali dei servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0-preview |
[Anteprima]: gli insiemi di credenziali dei servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
[Anteprima]: gli insiemi di credenziali di Servizi di ripristino di Azure devono usare collegamenti privati per il backup | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
[Anteprima]: Il backup e Site Recovery devono essere ridondanti della zona | Il backup e Site Recovery possono essere configurati in modo che siano ridondanti della zona o meno. Il backup e Site Recovery sono ridondanti della zona se la proprietà 'standardTierStorageRedundancy' è impostata su 'ZoneRedundant'. L'applicazione di questi criteri consente di garantire che Backup e Site Recovery siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
[Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per disabilitare l'accesso alla rete pubblica | Disattivare l'accesso alla rete pubblica per il vault dei servizi di Recovery in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/AB-PublicNetworkAccess-Deny. | Modifica, disattivato | 1.0.0-preview |
[anteprima]: Configurare endpoint privati in insiemi di credenziali di Servizi di ripristino di Azure | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di site recovery degli insiemi di credenziali di Servizi di ripristino, è possibile ridurre i rischi di perdita dei dati. Per usare collegamenti privati, l'identità del servizio gestito deve essere assegnata agli insiemi di credenziali di Servizi di ripristino. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per usare gli endpoint privati per il backup | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino, è possibile ridurre i rischi di perdita dei dati. Si noti che gli insiemi di credenziali devono soddisfare determinati prerequisiti per essere idonei per la configurazione dell'endpoint privato. Per altre informazioni, vedere: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Disabilitare il ripristino tra sottoscrizioni per gli insiemi di credenziali di Servizi di ripristino di Azure | Disabilitare o Disabilitare permanentemente il ripristino tra sottoscrizioni per l'insieme di credenziali di Servizi di ripristino in modo che le destinazioni di ripristino non possano trovarsi in una sottoscrizione diversa dalla sottoscrizione dell'insieme di credenziali. Per altre informazioni, vedere https://aka.ms/csrenhancements. | Modifica, disattivato | 1.1.0-preview |
[Anteprima]: non consentire la creazione di insiemi di credenziali di Servizi di ripristino di ridondanza di archiviazione scelta. | Gli insiemi di credenziali di Servizi di ripristino possono essere creati con una delle tre opzioni di ridondanza di archiviazione attualmente disponibili, ovvero Archiviazione con ridondanza locale, Archiviazione con ridondanza della zona e Archiviazione con ridondanza geografica. Se i criteri nell'organizzazione richiedono di bloccare la creazione di insiemi di credenziali appartenenti a un determinato tipo di ridondanza, è possibile ottenere lo stesso risultato usando questo criterio di Azure. | Deny, Disabled | 1.0.0-preview |
[Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per ulteriori informazioni, vedi https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
[Anteprima]: l'autorizzazione multiutente deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino. | Questo criterio controlla se l'autorizzazione multiutente è abilitata per gli insiemi di credenziali di Servizi di ripristino. MUA consente di proteggere gli insiemi di credenziali di Servizi di ripristino aggiungendo un ulteriore livello di protezione alle operazioni critiche. Per altre informazioni, visita il sito Web all'indirizzo https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0-preview |
[Anteprima]: Gli insiemi di credenziali di Servizi di ripristino devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati per Azure Site Recovery sono disponibili in: https://aka.ms/HybridScenarios-PrivateLink e https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
[Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino. | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. L'eliminazione temporanea consente di recuperare i dati anche dopo l'eliminazione. Per ulteriori informazioni, vedi https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
Configurare il backup nelle macchine virtuali con un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
Configurare il backup nelle macchine virtuali con un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
Configurare il backup nelle macchine virtuali senza un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
Configurare il backup nelle macchine virtuali senza un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.4.0 |
Distribuire le impostazioni di diagnostica per l'insieme di credenziali di Servizi di ripristino nell'area di lavoro Log Analytics per categorie specifiche delle risorse. | Distribuire le impostazioni di diagnostica per l'insieme di credenziali di Servizi di ripristino per lo streaming nell'area di lavoro Log Analytics per categorie specifiche delle risorse. Se una delle categorie specifiche delle risorse non è abilitata, verrà creata una nuova impostazione di diagnostica. | deployIfNotExists | 1.0.2 |
Abilitare la registrazione per gruppo di categorie per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Abilitare la registrazione per gruppo di categorie per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.