Definições internas do Azure Policy para a Rede Virtual do Microsoft Azure

Esta página é um índice de definições de políticas internas do Azure Policy para a Rede Virtual do Microsoft Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.

O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.

Rede Virtual do Azure

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível AuditIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: o Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual Esta política audita os Registros de Contêiner que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0 – versão prévia
Uma política de IPsec ou IKE personalizada precisa ser aplicada a todas as conexões do gateway de rede virtual do Azure Essa política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada do protocolo Ipsec ou IKE. Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 Audit, desabilitado 1.0.0
Todos os recursos de log de fluxo devem estar no estado habilitado Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. Audit, desabilitado 1.0.1
Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, desabilitado 2.0.1
Configuração de logs de fluxo de auditoria para cada rede virtual Uma auditoria de rede virtual para verificar se os logs de fluxo foram configurados. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio da rede virtual. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. Audit, desabilitado 1.0.1
O Gateway de Aplicativo do Azure deve ser implantado com o WAF do Azure Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o WAF do Azure. Audit, Deny, desabilitado 1.0.0
As Regras Clássicas do Firewall do Azure devem ser migradas para a Política de Firewall Migre das Regras Clássicas do Firewall do Azure para a Política de Firewall para utilizar as ferramentas de gerenciamento central como, por exemplo, o Gerenciador de Firewall do Azure. Audit, Deny, desabilitado 1.0.0
As Análises de Políticas do Firewall do Azure devem estar Habilitadas A habilitação das Análises de Políticas fornece uma visibilidade aprimorada do tráfego que flui por meio do Firewall do Azure, permitindo a otimização da configuração do seu firewall sem afetar o desempenho do aplicativo Audit, desabilitado 1.0.0
As Políticas de Firewall do Azure devem habilitar a Inteligência contra Ameaças A filtragem contra ameaças baseada em inteligência pode ser habilitada para o seu firewall de forma a alertar e rejeitar o tráfego de/para endereços IP e domínios mal-intencionados. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft. Audit, Deny, desabilitado 1.0.0
As Políticas de Firewall do Azure devem ter o Proxy de DNS Habilitado Habilitar o Proxy de DNS fará com que o Firewall do Azure associado a essa política escute na porta 53 e encaminhe as solicitações de DNS para o servidor DNS especificado Audit, desabilitado 1.0.0
O Firewall do Azure deve ser implantado para abranger várias Zonas de Disponibilidade Para uma maior disponibilidade, recomendamos implantar o Firewall do Azure para abranger várias Zonas de Disponibilidade. Isso garante que o seu Firewall do Azure permaneça disponível em caso de uma falha de zona. Audit, Deny, desabilitado 1.0.0
As Regras Clássicas do Firewall do Azure Standard devem habilitar a Inteligência contra Ameaças A filtragem contra ameaças baseada em inteligência pode ser habilitada para o seu firewall de forma a alertar e rejeitar o tráfego de/para endereços IP e domínios mal-intencionados. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft. Audit, Deny, desabilitado 1.0.0
O Firewall do Azure Standard deve fazer o upgrade para o Premium para obter uma proteção de última geração Se estiver em busca de uma proteção de última geração, como IDPS e inspeção TLS, pense em atualizar seu Firewall do Azure para o SKU Premium. Audit, Deny, desabilitado 1.0.0
Os gateways de VPN do Azure não devem usar o SKU 'básico' Essa política garante que os gateways de VPN não usem o SKU "básico". Audit, desabilitado 1.0.0
O Firewall de Aplicativo Web do Azure em Gateway de Aplicativo do Azure deve ter a inspeção do corpo da solicitação habilitada Verifique se os Firewalls de Aplicativo Web associados a Gateways de Aplicativo do Azure têm a Inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. Audit, Deny, desabilitado 1.0.0
O Firewall de Aplicativo Web do Azure no Azure Front Door deve ter a inspeção do corpo da solicitação habilitada Verifique se os Firewalls de Aplicativo Web associados ao Azure Front Doors têm a inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. Audit, Deny, desabilitado 1.0.0
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 1.0.2
A Proteção contra Bots deve ser habilitada para o WAF do Gateway de Aplicativo do Azure Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Gateway de Aplicativo do Azure Audit, Deny, desabilitado 1.0.0
A Proteção contra Bots deve ser habilitada para o WAF do Azure Front Door Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Azure Front Door Audit, Deny, desabilitado 1.0.0
Defina as configurações de diagnóstico para Grupos de Segurança de Rede do Azure para o workspace do Log Analytics Implante configurações de diagnóstico para Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um workspace do Log Analytics. DeployIfNotExists, desabilitado 1.0.0
Configurar grupos de segurança de rede para habilitar a análise de tráfego A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se a política já tiver a análise de tráfego habilitada, ela não substituirá as configurações da análise. Os logs de fluxo também são habilitados para os grupos de segurança de rede que ainda não os têm. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.2.0
Configurar grupos de segurança de rede para usar o workspace específico, a conta de armazenamento e a política de retenção do log de fluxo para a análise de tráfego Se a política já tiver a análise de tráfego habilitada, a ela substituirá as configurações existentes da análise por aquelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.2.0
Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego A Análise de Tráfego e os Logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Essa política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.1.1
Configurar redes virtuais para impor um workspace específico, conta de armazenamento e intervalo de retenção para logs de fluxo e Análise de Tráfego Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.1.2
O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual Microsoft Azure Cosmos DB Essa política audita os Cosmos DB que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino Configura o log de fluxo para um grupo de segurança de rede específico. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. deployIfNotExists 1.1.0
Implantar um recurso de Log de Fluxo com as redes virtuais de destino Configura o log de fluxo para uma rede virtual específica. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de uma rede virtual. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. DeployIfNotExists, desabilitado 1.1.1
Implantar o observador de rede quando redes virtuais são criadas Essa política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do observador de rede. DeployIfNotExists 1.0.0
Habilite a regra limite de taxa para proteger contra ataques de DDoS no WAF do Azure Front Door A regra de limite de taxa do WAF (Firewall de Aplicativo Web do Azure) para o Azure Front Door controla o número de solicitações permitidas de um endereço IP de cliente específico para o aplicativo durante um limite de taxa. Audit, Deny, desabilitado 1.0.0
O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os Hubs de Eventos que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. AuditIfNotExists, desabilitado 1.0.0
Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. Audit, desabilitado 1.1.0
As sub-redes de gateway não devem ser configuradas com um grupo de segurança de rede Essa política negará se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. Atribuir um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. deny 1.0.0
O Key Vault deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
Migrar o WAF da Configuração do WAF para a Política do WAF no Gateway de Aplicativo Se você tem uma Configuração WAF, em vez de uma Política do WAF, convém mover para a nova política do WAF. No futuro, a política de firewall dará suporte a configurações de política do WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. Audit, Deny, desabilitado 1.0.0
Os adaptadores de rede devem desabilitar o encaminhamento IP Essa política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento de IP desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. deny 1.0.0
As interfaces de rede não devem ter IPs públicos Essa política nega as interfaces de rede que são configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem internamente com os recursos do Azure e que os recursos do Azure se comuniquem externamente com a Internet. Isso deve ser revisado pela equipe de segurança de rede. deny 1.0.0
Os logs de fluxo do Observador de Rede devem ter a análise de tráfego habilitada A análise de tráfego analisa os logs de fluxo para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Ela pode ser usada para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender os padrões de fluxo de tráfego, identificar configurações de rede incorretas e muito mais. Audit, desabilitado 1.0.1
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
IPs públicos e prefixos de IP públicos devem ter a marca FirstPartyUsage Verifique se todos os endereços IP públicos e prefixos IP públicos têm uma marca FirstPartyUsage. Audit, Deny, desabilitado 1.0.0
O SQL Server deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os SQL Servers que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. AuditIfNotExists, desabilitado 1.0.0
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
As sub-redes devem ser privadas Verifique se as sub-redes são seguras por padrão, impedindo o acesso de saída padrão. Para obter mais informações, acesse https://aka.ms/defaultoutboundaccessretirement Audit, Deny, desabilitado 1.0.0
Os Hubs Virtuais devem ser protegidos com o Firewall do Azure Implante um Firewall do Azure nos seus Hubs Virtuais para proteger e controlar o tráfego de saída e entrada da internet de forma granular. Audit, Deny, desabilitado 1.0.0
As máquinas virtuais devem estar conectadas a uma rede virtual aprovada Essa política audita as máquinas virtuais que estão conectadas a uma rede virtual que não foi aprovada. Audit, Deny, desabilitado 1.0.0
As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure Proteja suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para obter mais informações, visite https://aka.ms/ddosprotectiondocs. Modify, Audit, desabilitado 1.0.1
As redes virtuais devem usar o gateway de rede virtual especificado Essa política audita as redes virtuais em que a rota padrão não aponta para o gateway de rede virtual especificado. AuditIfNotExists, desabilitado 1.0.0
Os gateways de VPN devem usar somente a autenticação do Azure AD (Active Directory) para usuários de ponto a site Desabilitar os métodos de autenticação local melhora a segurança, garantindo que os gateways de VPN usem apenas identidades do Azure Active Directory para a autenticação. Para saber mais sobre a autenticação do Azure AD, confira https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Audit, Deny, desabilitado 1.0.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 2.0.0
O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para Gateway de Aplicativo Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para Gateway de Aplicativo. Audit, Deny, desabilitado 1.0.0
O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para o Azure Front Door Service Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para o Azure Front Door Service. Audit, Deny, desabilitado 1.0.0

Marcas

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar uma marca aos grupos de recursos Adiciona a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. modify 1.0.0
Adicionar uma marca aos recursos Adiciona a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Não modifica tags em grupos de recursos. modify 1.0.0
Adicionar uma marca às assinaturas Adiciona a marca e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. modify 1.0.0
Adicionar ou substituir uma marca nos grupos de recursos Adiciona ou substitui a marca e o valor especificados quando qualquer grupo de recursos é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. modify 1.0.0
Adicionar ou substituir uma marca nos recursos Adiciona ou substitui a marca e o valor especificados quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Não modifica tags em grupos de recursos. modify 1.0.0
Adicionar ou substituir uma marca em assinaturas Adiciona ou substitui a marca e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. modify 1.0.0
Acrescentar uma marca e seu valor do grupo de recursos Acrescenta a marca especificada com seu valor do grupo de recursos quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). acrescentar 1.0.0
Acrescentar uma marca e seu valor a grupos de recursos Acrescenta a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos grupos de recursos criados antes da aplicação dessa política até que esses grupos de recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). acrescentar 1.0.0
Acrescentar uma marca e seu valor a recursos Acrescenta a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Não se aplica a grupos de recursos. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). acrescentar 1.0.1
Herdar uma marca do grupo de recursos Adiciona ou substitui a marca e o valor especificados do grupo de recursos pai quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. modify 1.0.0
Herdar uma marca do grupo de recursos, se ela estiver ausente Adiciona a marca especificada com seu valor do grupo de recursos pai quando qualquer recurso que falta nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. modify 1.0.0
Herdar uma marca da assinatura Adiciona ou substitui a marca e o valor especificados da assinatura que os contém quando algum recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. modify 1.0.0
Herdar uma marca da assinatura, se ela estiver ausente Adiciona a marca especificada com o respectivo valor da assinatura que a contém quando algum recurso que não tem essa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. modify 1.0.0
Exigir uma marca e seu valor em grupos de recursos Impõe uma marca necessária e seu valor em grupos de recursos. deny 1.0.0
Exigir uma marca e seu valor em recursos Impõe uma marca necessária e seu valor. Não se aplica a grupos de recursos. deny 1.0.1
Exigir uma marca em grupos de recursos Aplica a existência de uma marca em grupos de recursos. deny 1.0.0
Exigir uma marca em recursos Aplica a existência de uma marca. Não se aplica a grupos de recursos. deny 1.0.1

Geral

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Locais permitidos Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos. Use para impor seus requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região "global". deny 1.0.0
Localizações permitidas para grupos de recursos Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica. deny 1.0.0
Tipos de recursos permitidos Essa política permite especificar os tipos de recursos que sua organização pode implantar. Somente os tipos de recursos que dão suporte a "marcas" e "local" serão afetados por essa política. Para restringir todos os recursos, duplique essa política e altere o "modo" para "Todos". deny 1.0.0
O local do recurso de auditoria corresponde ao local do grupo de recursos Auditar se o local do recurso corresponde ao local do seu grupo de recursos auditoria 2.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Configurar assinaturas para configurar a versão prévia dos recursos Essa política avalia a versão prévia dos recursos da assinatura existente. As assinaturas podem ser corrigidas para se registrarem em uma versão prévia de um novo recurso. As novas assinaturas não serão registradas automaticamente. AuditIfNotExists, DeployIfNotExists, desabilitado 1.0.1
Não permitir a exclusão de tipos de recursos Essa política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. DenyAction, Desabilitado 1.0.1
Não permitir Recursos do M365 Bloqueie a criação de recursos do M365. Audit, Deny, desabilitado 1.0.0
Não permitir recursos do MCPP Bloqueie a criação de recursos do MCPP. Audit, Deny, desabilitado 1.0.0
Excluir recursos de custos de uso Esta política permite que você exclua recursos de custos de uso. Os custos de uso incluem coisas como armazenamento medido e recursos do Azure que são cobrados com base no uso. Audit, Deny, desabilitado 1.0.0
Tipos de recursos não permitidos Restrinja os tipos de recursos que poderão ser implantados em seu ambiente. Limitar os tipos de recursos poderá reduzir a complexidade e a superfície de ataque do ambiente, enquanto também ajuda a gerenciar custos. Os resultados de conformidade serão mostrados somente para recursos não compatíveis. Audit, Deny, desabilitado 2.0.0

Próximas etapas