Azure AI サービスの Azure Policy 組み込みポリシー定義

このページは、Azure AI サービス用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

Azure AI サービス

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 Audit、Deny、Disabled 2.2.0
Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください Audit、Deny、Disabled 1.1.0
Azure AI Services リソースでネットワーク アクセスを制限する必要がある ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 Audit、Deny、Disabled 3.2.0
Azure AI サービスのリソースでは Azure Private Link を使用する必要があります Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 Audit、Disabled 1.0.0
Cognitive Services アカウントではマネージド ID を使用する必要がある マネージド ID を Cognitive Service アカウントに割り当てると、安全な認証を確実に行うことができます。 この ID は、この Cognitive Service アカウントが、資格情報を管理しなくても、安全な方法で Azure Key Vault などの他の Azure サービスと通信するために使用されます。 Audit、Deny、Disabled 1.0.0
Cognitive Services アカウントで顧客所有のストレージを使用する必要がある Cognitive Services の保存データは、顧客所有のストレージを使用して制御します。 顧客所有のストレージの詳細については、https://aka.ms/cogsvc-cmk を参照してください。 Audit、Deny、Disabled 2.0.0
ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください DeployIfNotExists、Disabled 1.0.0
ローカル認証方法を無効にするように Cognitive Services アカウントを構成する ローカル認証方法を無効にして、Cognitive Services アカウントで Azure Active Directory ID を認証専用で要求するようにします。 詳細については、https://aka.ms/cs/auth を参照してください。 Modify、Disabled 1.0.0
公衆ネットワーク アクセスを無効にするように Cognitive Services アカウントを構成する Cognitive Services リソースの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Disabled、Modify 3.0.0
プライベート エンドポイントを使用して Cognitive Services アカウントを構成する プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 DeployIfNotExists、Disabled 3.0.0
Azure AI サービス リソースの診断ログを有効にする必要がある Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 1.0.0
Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとのイベント ハブへのログを有効にする リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用のイベント ハブにログをルーティングします。 DeployIfNotExists、AuditIfNotExists、Disabled 1.2.0
Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとの Log Analytics へのログを有効にする リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用の Log Analytics ワークスペースにログをルーティングします。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0
Cognitive Services (microsoft.cognitiveservices/accounts) のカテゴリ グループごとのストレージへのログを有効にする リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Cognitive Services (microsoft.cognitiveservices/accounts) 用のストレージ アカウントにログをルーティングします。 DeployIfNotExists、AuditIfNotExists、Disabled 1.1.0

次のステップ