Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen für Azure Virtual Network. Weitere Azure Policy integrierten Komponenten für andere Dienste finden Sie unter Azure Policy integrierten Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Virtuelles Azure-Netzwerk
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt sind. Schützen Sie Ihre Subnetze vor potenziellen Bedrohungen, indem Sie den Zugriff auf sie mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation einschränken. | AuditIfNotExists, Deaktiviert | 3.0.0-preview | |
| [Vorschau]: Container Registry sollte einen VNET-Dienstendpunkt verwenden. | Diese Richtlinie überwacht alle Container Registry-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, deaktiviert | 1.0.0-preview |
| A custom IPsec/IKE policy must be applied to all Azure virtual network gateway connections | Diese Richtlinie stellt sicher, dass alle Azure Verbindungen des virtuellen Netzwerkgateways eine benutzerdefinierte Internet protocol Security(Ipsec)/Internet Key Exchange(IKE)-Richtlinie verwenden. Informationen zu unterstützten Algorithmen und Schlüsselstärken finden Sie unter https://aka.ms/AA62kb0. | Audit, deaktiviert | 1.0.0 |
| Alle Datenflussprotokollressourcen sollten aktiviert sein | Hiermit werden Datenflussprotokollressourcen überwacht, um zu überprüfen, ob der Datenflussprotokollstatus aktiviert ist. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, deaktiviert | 1.0.1 |
| App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden | Verwenden Sie Endpunkte des virtuellen Netzwerks, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem Azure virtuellen Netzwerk einzuschränken. Weitere Informationen zu App Service Dienstendpunkten finden Sie unter https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| Konfiguration für Datenflussprotokolle für jedes virtuelle Netzwerk konfigurieren | Hiermit werden virtuelle Netzwerke überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch das virtuelle Netzwerk fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, deaktiviert | 1.0.1 |
| Azure Application Gateway für Container müssen Sicherheitsrichtlinien aufweisen | Stellt sicher, dass Application Gateway for Containers mindestens eine Sicherheitsrichtlinie konfiguriert hat | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Erfordert, dass Azure Application Gateway Ressourcen mit Azure WAF bereitgestellt werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Azure Firewall Klassische Regeln sollten zur Firewallrichtlinie migriert werden | Migrieren Sie von Azure Firewall klassischen Regeln zur Firewallrichtlinie, um zentrale Verwaltungstools wie Azure Firewall Manager zu nutzen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Firewall Policy Analytics sollte aktiviert sein | Das Aktivieren von Richtlinienanalysen bietet einen verbesserten Einblick in den Datenverkehr, der durch Azure Firewall fließt, wodurch die Optimierung Ihrer Firewallkonfiguration ohne Auswirkungen auf die Anwendungsleistung ermöglicht wird. | Audit, deaktiviert | 1.0.0 |
| Azure Firewall Richtlinie sollte Threat Intelligence aktivieren | Das Filtern auf Basis von Threat Intelligence kann für Ihre Firewall aktiviert werden, damit diese Sie bei Datenverkehr von und zu bekannten schädlichen IP-Adressen oder Domänen warnt und diesen verweigert. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Firewall Richtlinie sollte DNS-Proxy aktiviert sein | Durch aktivieren des DNS-Proxys wird die Azure Firewall dieser Richtlinie zugeordnet, um port 53 zu überwachen und die DNS-Anforderungen an den angegebenen DNS-Server weiterzuleiten. | Audit, deaktiviert | 1.0.0 |
| Für eine höhere Verfügbarkeit empfehlen wir die Bereitstellung Ihrer Azure Firewall, um mehrere Availability Zones zu umfassen. Dadurch wird sichergestellt, dass Ihre Azure Firewall im Falle eines Zonenfehlers verfügbar bleibt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Azure Firewall Standard – Klassische Regeln sollten Threat Intelligence aktivieren | Das Filtern auf Basis von Threat Intelligence kann für Ihre Firewall aktiviert werden, damit diese Sie bei Datenverkehr von und zu bekannten schädlichen IP-Adressen oder Domänen warnt und diesen verweigert. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Firewall Standard sollte für den Schutz der nächsten Generation auf Premium aktualisiert werden | Wenn Sie nach Schutz der nächsten Generation wie IDPS und TLS-Inspektion suchen, sollten Sie ein Upgrade Ihrer Azure Firewall auf Premium-Sku in Betracht ziehen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Diese Richtlinie stellt sicher, dass für VPN-Gateways nicht die SKU „Basic“ verwendet wird. | Audit, deaktiviert | 1.0.0 | |
| Azure Web Application Firewall für Azure Application Gateway sollte die Überprüfung von Stellen aktiviert sein | Stellen Sie sicher, dass Webanwendungsfirewalls, die Azure Application Gateways zugeordnet sind, die Anforderungstextüberprüfung aktiviert haben. Dadurch kann die WAF Eigenschaften innerhalb des HTTP-Textkörpers überprüfen, die möglicherweise nicht in den HTTP-Headern, Cookies oder URI ausgewertet werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Web Application Firewall für Azure Front Door sollte die Überprüfung der Körperstellen aktiviert sein | Stellen Sie sicher, dass Webanwendungsfirewalls, die Azure Front Doors zugeordnet sind, die Anforderungsstellenüberprüfung aktiviert haben. Dadurch kann die WAF Eigenschaften innerhalb des HTTP-Textkörpers überprüfen, die möglicherweise nicht in den HTTP-Headern, Cookies oder URI ausgewertet werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Web Application Firewall sollte für Azure Front Door Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
| Diese Richtlinie stellt sicher, dass der Botschutz in allen Azure Application Gateway Web Application Firewall (WAF)-Richtlinien aktiviert ist. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Diese Richtlinie stellt sicher, dass der Botschutz in allen Azure Front Door Web Application Firewall (WAF)-Richtlinien aktiviert ist. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Konfigurationsdiagnoseeinstellungen für Azure Netzwerksicherheitsgruppen zum Log Analytics Arbeitsbereich | Stellen Sie Diagnoseeinstellungen für Azure Netzwerksicherheitsgruppen bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Konfigurieren von Netzwerksicherheitsgruppen zum Aktivieren von Traffic Analytics | Traffic Analytics kann für alle Netzwerksicherheitsgruppen aktiviert werden, die in einer bestimmten Region gehostet werden, wobei die Einstellungen während der Richtlinienerstellung bereitgestellt werden. Wenn Traffic Analytics bereits aktiviert ist, überschreibt die Richtlinie ihre Einstellungen nicht. Datenflussprotokolle sind ebenfalls für die Netzwerksicherheitsgruppen aktiviert, die nicht über diese verfügen. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Konfigurieren von Netzwerksicherheitsgruppen für die Verwendung von bestimmten Arbeitsbereiche, Speicherkonten und Aufbewahrungsrichtlinien für Datenflussprotokolle für Datenverkehrsanalysen | Wenn Traffic Analytics bereits aktiviert ist, überschreibt die Richtlinie die vorhandenen Einstellungen mit denen, die bei der Erstellung der Richtlinie angegeben wurden. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Konfigurieren des virtuellen Netzwerks, um Datenflussprotokolle und Traffic Analytics zu aktivieren | Traffic Analytics und Datenflussprotokolle können für alle virtuellen Netzwerke aktiviert werden, die in einer bestimmten Region gehostet werden, und bei denen die Einstellungen während der Richtlinienerstellung angegeben werden. Diese Richtlinie überschreibt nicht die aktuelle Einstellung für virtuelle Netzwerke, für die diese Funktion bereits aktiviert ist. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, deaktiviert | 1.1.1 |
| Konfigurieren von virtuellen Netzwerken zum Erzwingen von bestimmten Arbeitsbereichen, Speicherkonten und Aufbewahrungsintervallen für Datenflussprotokolle und Traffic Analytics | Wenn Traffic Analytics bereits für ein virtuelles Netzwerk aktiviert ist, überschreibt diese Richtlinie die vorhandenen Einstellungen mit den Einstellungen, die während der Richtlinienerstellung bereitgestellt werden. Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. | DeployIfNotExists, deaktiviert | 1.1.2 |
| Cosmos DB sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Cosmos DB-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, deaktiviert | 1.0.0 |
| Create central Log Analytics Workspace for VNet Flowlog Traffic Analytics in the specified Resource Group | Erstellen Sie einen zentralen Log Analytics Arbeitsbereich im zugewiesenen Bereich und unter Ressourcengruppe nwtarg-<subscriptionID> standardmäßig für VNet-Flusslogs. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Erstellen regionaler NetworkWatcher in NetworkWatcherRG für VNet Flowlogs | Diese Richtlinie erstellt eine Network Watcher in der angegebenen Region, um Flowlogs für virtuelle Netzwerke zu aktivieren. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Erstellen eines regionalen Speicherkontos für VNet-Flusslogs in resourceGroupName RG | Erstellt ein regionales Speicherkonto im zugewiesenen Bereich und unter ressourcengruppe nwtarg-subscriptionID< standardmäßig für VNet-Flusslogs>. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Ressource für Datenflussprotokolle mit Netzwerksicherheitsgruppe für Ziel bereitstellen | Hiermit wird das Datenflussprotokoll für eine bestimmte Netzwerksicherheitsgruppe konfiguriert. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine Netzwerksicherheitsgruppe fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. | deployIfNotExists | 1.1.0 |
| Bereitstellen einer Datenflussprotokollressource mit virtuellem Zielnetzwerk | Konfiguriert das Datenflussprotokoll für ein bestimmtes virtuelles Netzwerk. Dies ermöglicht die Protokollierung von Informationen über den IP-Datenverkehr, der durch eine virtuelles Netzwerk fließt. Das Datenflussprotokoll bietet Unterstützung bei der Identifizierung von unbekanntem oder unerwünschtem Datenverkehr, bei der Überprüfung der Netzwerkisolation und bei der Einhaltung von Zugriffsregeln eines Unternehmens sowie bei der Analyse von Netzwerkdatenflüssen von kompromittierten IP-Adressen und Netzwerkschnittstellen. | DeployIfNotExists, deaktiviert | 1.1.1 |
| Beim Erstellen virtueller Netzwerke Network Watcher bereitstellen | Diese Richtlinie erstellt eine Network Watcher-Ressource in Regionen mit virtuellen Netzwerken. Sie müssen sicherstellen, dass eine Ressourcengruppe namens „networkWatcherRG“ vorhanden ist, die zum Bereitstellen von Network Watcher-Instanzen verwendet wird. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs with Traffic Analytics for VNets with regional Storage and centralized Log Analytics | Bereitstellen von VNet-Flussprotokollen mit Datenverkehrsanalyse für VNets mit regionalem Speicher und zentraler Log Analytics. Stellen Sie vor der Wartung sicher, dass die resourceGroupName-Ressourcengruppe, das Speicherkonto, Log Analytics Arbeitsbereich Network Watcher bereits bereitgestellt werden. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Enable Rate Limit rule to protect against DDoS attacks on Azure Front Door WAF | Die Azure Web Application Firewall-Regel (WAF) für Azure Front Door steuert die Anzahl der Anforderungen, die von einer bestimmten Client-IP-Adresse an die Anwendung während einer Zinsgrenzdauer zulässig sind. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Event Hub sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht jeden Event Hub, der nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert ist. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert sein | Hiermit werden Netzwerksicherheitsgruppen überwacht, um sicherzustellen, dass Datenflussprotokolle konfiguriert sind. Durch die Aktivierung von Datenflussprotokollen können Informationen zum IP-Datenverkehr protokolliert werden, der durch die Netzwerksicherheitsgruppe fließt. So können Sie Netzwerkdatenflüsse optimieren, den Durchsatz überwachen, Konformität sicherstellen, Eindringversuche erkennen und mehr. | Audit, deaktiviert | 1.1.0 |
| Gatewaysubnetze dürfen nicht mit einer Netzwerksicherheitsgruppe konfiguriert werden | Diese Richtlinie lehnt Gatewaysubnetze ab, die mit einer Netzwerksicherheitsgruppe konfiguriert sind. Das Zuweisen einer Netzwerksicherheitsgruppe zu einem Gatewaysubnetz führt dazu, dass das Gateway nicht mehr funktioniert. | deny | 1.0.0 |
| Key Vault sollte einen Endpunkt für virtuelle Netzwerke verwenden | Diese Richtlinie überprüft alle Key Vault, die nicht für die Verwendung eines Endpunkts für virtuelle Netzwerke konfiguriert sind. | Audit, deaktiviert | 1.0.0 |
| Migrieren von WAF zu WAF-Konfiguration zu WAF-Richtlinie auf Application Gateway | Wenn Sie über WAF Config anstatt von WAF-Richtlinie verfügen, sollten Sie in Erwägung ziehen, zu der neuen WAF-Richtlinie zu wechseln. In Zukunft unterstützt die Firewallrichtlinie WAF-Richtlinieneinstellungen, verwaltete Regelsätze, Ausschlüsse und deaktivierte Regelgruppen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Netzwerkschnittstellen müssen die IP-Weiterleitung deaktivieren | Diese Richtlinie lehnt Netzwerkschnittstellen ab, für die die IP-Weiterleitung aktiviert ist. Durch die Einstellung der IP-Weiterleitung wird die Überprüfung der Quelle und des Ziels für eine Netzwerkschnittstelle Azure deaktiviert. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. | deny | 1.0.0 |
| Netzwerkschnittstellen dürfen keine öffentlichen IP-Adressen aufweisen | Diese Richtlinie lehnt Netzwerkschnittstellen ab, die mit einer öffentlichen IP-Adresse konfiguriert sind. Öffentliche IP-Adressen ermöglichen es Internetressourcen, eingehend mit Azure Ressourcen zu kommunizieren, und Azure Ressourcen, um ausgehend mit dem Internet zu kommunizieren. Diese Konfiguration muss durch das Netzwerksicherheitsteam überprüft werden. | deny | 1.0.0 |
| Network Watcher Ablaufprotokolle sollten datenverkehrsanalysefähig sein | Die Datenverkehrsanalyse analysiert Ablaufprotokolle, um Einblicke in den Datenverkehrsfluss in Ihrer Azure Cloud zu bieten. Es kann verwendet werden, um Netzwerkaktivitäten in Ihren Azure-Abonnements zu visualisieren und Hotspots zu identifizieren, Sicherheitsbedrohungen zu identifizieren, Datenverkehrsflussmuster zu verstehen, Netzwerkfehler anzuheften und vieles mehr. | Audit, deaktiviert | 1.0.1 |
| Network Watcher sollte aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf Netzwerkszenarioebene in, in und von Azure aus überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Öffentliche IP-Adressen und öffentliche IP-Präfixe sollten das Tag „FirstPartyUsage“ verwenden | Stellen Sie sicher, dass alle öffentlichen IP-Adressen und öffentlichen IP-Präfixe über ein Tag „FirstPartyUsage“ verfügen. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| SQL Server sollte einen Endpunkt für virtuelle Netzwerke verwenden | Diese Richtlinie überwacht alle SQL Server, die nicht für die Verwendung eines Endpunkts für virtuelle Netzwerke konfiguriert sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Speicherkonten sollten einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Speicherkonten, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, deaktiviert | 1.0.0 |
| Subnetze sollten privat sein | Stellen Sie sicher, dass Ihre Subnetze standardmäßig sicher sind, indem Sie den ausgehenden Standardzugriff verhindern. Weitere Informationen finden Sie unter https://aka.ms/defaultoutboundaccessretirement. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Stellen Sie eine Azure Firewall für Ihre Virtual Hubs bereit, um Internetausgang und Datenverkehr zu schützen und präzise zu steuern. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Virtuelle Computer müssen mit einem genehmigten virtuellen Netzwerk verbunden sein | Diese Richtlinie überwacht alle virtuellen Computer darauf, ob sie mit einem nicht genehmigten virtuellen Netzwerk verbunden sind. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Virtual-Netzwerke sollten durch Azure DDoS-Schutz geschützt werden | Schützen Sie Ihre virtuellen Netzwerke vor Volumetric- und Protokollangriffen mit Azure DDoS Protection. Weitere Informationen finden Sie unter https://aka.ms/ddosprotectiondocs. | Ändern, Überwachen, Deaktiviert | 1.0.1 |
| Virtuelle Netzwerke müssen ein angegebenes Gateway für virtuelle Netzwerke verwenden | Diese Richtlinie überwacht alle virtuellen Netzwerke, wenn die Standardroute nicht auf das angegebene Gateway für virtuelle Netzwerke zeigt. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| VPN-Gateways sollten nur Azure Active Directory (Azure AD)-Authentifizierung für Point-to-Site-Benutzer verwenden | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass VPN-Gateways nur Azure Active Directory Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Web Application Firewall (WAF) sollte für das Anwendungsgateway aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Web Application Firewall (WAF) sollte den angegebenen Modus für das Anwendungsgateway verwenden | Gibt an, dass der Modus "Erkennung" oder "Verhinderung" für alle Web Application Firewall Richtlinien für das Anwendungsgateway aktiv ist. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Fordert die Verwendung des Modus "Erkennung" oder "Prävention" auf, für alle Web Application Firewall Richtlinien für Azure Front Door Service aktiv zu sein. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Tags
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Tag zu Ressourcengruppen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag zu Ressourcen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Tags für Ressourcengruppen werden nicht geändert. | modify | 1.0.0 |
| Tag zu Abonnements hinzufügen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Tag für Ressourcengruppen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. | modify | 1.0.0 |
| Tag für Ressourcen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Tags für Ressourcengruppen werden nicht geändert. | modify | 1.0.0 |
| Tag für Abonnements hinzufügen oder ersetzen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu oder ersetzt diese. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Tag und zugehörigen Wert aus der Ressourcengruppe anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert aus der Ressourcengruppe angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
| Tag und zugehörigen Wert an Ressourcengruppen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcengruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
| Tag und zugehörigen Wert an Ressourcen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Dies gilt nicht für Ressourcengruppen. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.1 |
| Tag von der Ressourcengruppe erben | Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. | modify | 1.0.0 |
| Tag von der Ressourcengruppe erben, falls nicht vorhanden | Hiermit werden das angegebene Tag und der zugehörige Wert aus der übergeordneten Ressourcengruppe hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag vom Abonnement erben | Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt oder ersetzt, wenn eine Ressource erstellt oder aktualisiert wird. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. | modify | 1.0.0 |
| Tag vom Abonnement erben, falls nicht vorhanden | Hiermit werden das angegebene Tag und der zugehörige Wert aus dem enthaltenden Abonnement hinzugefügt, wenn eine Ressource erstellt oder aktualisiert wird, in der dieses Tag fehlt. Bereits vorhandene Ressourcen können durch Auslösen eines Wartungstasks gewartet werden. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag und zugehöriger Wert für Ressourcengruppen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert für Ressourcengruppen. | deny | 1.0.0 |
| Tag und zugehöriger Wert für Ressourcen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert. Dies gilt nicht für Ressourcengruppen. | deny | 1.0.1 |
| Tag für Ressourcengruppen erforderlich | Hiermit wird das Vorhandensein eines Tags für Ressourcengruppen erzwungen. | deny | 1.0.0 |
| Tag für Ressourcen erforderlich | Erzwingt das Vorhandensein eines Tags. Dies gilt nicht für Ressourcengruppen. | deny | 1.0.1 |
General
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Zulässige Speicherorte | Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. Schließt Ressourcengruppen aus, Microsoft. AzureActiveDirectory/b2cDirectories und Ressourcen, die die Region "global" verwenden. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Zulässige Standorte für Ressourcengruppen | Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Zulässige Ressourcentypen | Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation bereitstellen kann. Diese Richtlinie gilt nur für Ressourcentypen, die „tags“ und „location“ unterstützen. Um alle Ressourcen einzuschränken, duplizieren Sie diese Richtlinie und ändern den Wert für „mode“ in „All“. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Übereinstimmung des Standorts von Ressource und Ressourcengruppe überwachen | Hiermit wird überwacht, ob der Standort der Ressource mit dem Standort der Ressourcengruppe übereinstimmt. | Überprüfen, Verweigern, Deaktiviert | 2.1.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, deaktiviert | 1.0.1 |
| Abonnements zum Einrichten von Previewfunktionen konfigurieren | Diese Richtlinie wertet die Previewfunktionen eines vorhandenen Abonnements aus. Abonnements können korrigiert werden, um bei einer neuen Previewfunktion registriert zu werden. Neue Abonnements werden nicht automatisch registriert. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.1 |
| Das Löschen von Ressourcentypen nicht zulassen | Mit dieser Richtlinie können Sie die Ressourcentypen angeben, die Ihre Organisation vor versehentlichem Löschen schützen kann, indem Sie Löschaufrufe mithilfe von Verweigerungsaktionseffekten blockieren. | DenyAction, Deaktiviert | 1.0.1 |
| M365-Ressourcen nicht zulassen | Blockieren der Erstellung von M365-Ressourcen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| MCPP-Ressourcen nicht zulassen | Blockieren der Erstellung von MCPP-Ressourcen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Ausschließen von Ressourcen für Nutzungskosten | Mit dieser Richtlinie können Sie Ressourcen für Nutzungskosten ausschließen. Zu den Nutzungskosten gehören Elemente wie getakteter Speicher und Azure Ressourcen, die basierend auf der Nutzung in Rechnung gestellt werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Nicht zulässige Ressourcentypen | Schränken Sie ein, welche Ressourcentypen in Ihrer Umgebung bereitgestellt werden können. Durch das Einschränken von Ressourcentypen können Sie die Komplexität und Angriffsfläche Ihrer Umgebung verringern und gleichzeitig die Kosten kontrollieren. Konformitätsergebnisse werden nur für nicht konforme Ressourcen angezeigt. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Benutzer müssen sich mit mehrstufiger Authentifizierung authentifizieren, um Ressourcen zu erstellen oder zu aktualisieren. | Diese Richtliniendefinition blockiert Ressourcenerstellungs- und Aktualisierungsvorgänge, wenn der Aufrufer nicht über MFA authentifiziert wird. Weitere Informationen finden Sie unter https://aka.ms/mfaforazure. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Benutzer müssen sich mit mehrstufiger Authentifizierung authentifizieren, um Ressourcen zu löschen. | Diese Richtliniendefinition blockiert Ressourcenlöschvorgänge, wenn der Aufrufer nicht über MFA authentifiziert wird. Weitere Informationen finden Sie unter https://aka.ms/mfaforazure. | AuditAction, DenyAction, Deaktiviert | 1.1.0 |
Nächste Schritte
- Weitere Informationen finden Sie in den integrierten Azure Policy GitHub-Repository.
- Überprüfen Sie die Azure Policy-Definitionsstruktur.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.