Définitions intégrées d’Azure Policy pour Azure App Service
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Azure App Service. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure App Service
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les plans App Service doivent être redondants interzone | Les plans App Service peuvent être configurés pour être redondants interzone ou non. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un plan App Service, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les plans App Service. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les emplacements d’application App Service doivent être injectés dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements de l’application App Service doivent désactiver l'accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements des applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure | Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure | Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. | Audit, Refuser, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.4 |
| Le débogage à distance doit être désactivé pour les emplacements des applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressource doivent être activés pour les emplacements des applications App Service | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 1.0.0 |
| Pour permettre à toutes les ressources d’accéder à vos applications, aucun CORS ne doit être configuré dans vos emplacements d’application App Service | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent être accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les emplacement d’application App Service qui utilisent Java doivent utiliser une 'version de Java' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent être injectées dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 3.0.0 |
| Les applications App Service doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.1.0 |
| Les applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure | Par défaut, la configuration de l’application, telle que l’extraction d’images conteneur et le montage du stockage de contenu, ne sera pas routée via l’intégration au réseau virtuel régional. L'utilisation de l'API pour définir les options de routage sur true permet au trafic de configuration de passer par le réseau virtuel Azure. Ces paramètres permettent d’utiliser des fonctionnalités telles que les groupes de sécurité réseau et les itinéraires définis par l’utilisateur, et les points de terminaison de service d’être privés. Pour plus d’informations, consultez https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.0.0 |
| Les applications App Service doivent activer le trafic sortant non-RFC 1918 vers Azure Réseau virtuel | Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification doit être activée pour les applications App Service | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée | Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | Audit, Refuser, Désactivé | 4.1.0 |
| Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel | Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les applications App Service qui utilisent Java doivent utiliser une « version de Java » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications App Service qui utilisent PHP doivent utiliser une « version de PHP » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.2.0 |
| Les applications App Service qui utilisent Python doivent utiliser une « version de Python » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les applications App Service Environment ne doivent pas être accessibles via Internet public | Pour garantir que les applications déployées dans App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans le réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, App Service Environment doit être déployé avec un équilibreur de charge interne. | Audit, Refuser, Désactivé | 3.0.0 |
| App Service Environment doit être configuré avec les suites de chiffrement TLS les plus fortes | Les deux suites de chiffrement minimales les plus fortes requises pour App Service Environment sont les suivantes : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Désactivé | 1.0.0 |
| App Service Environment doit être approvisionné avec les dernières versions | Autorisez uniquement la configuration d’App Service Environment version 2 ou 3. Les versions antérieures d’App Service Environment nécessitent une gestion manuelle des ressources Azure et présentent des limitations de mise à l’échelle accrues. | Audit, Refuser, Désactivé | 1.0.0 |
| App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| App Service Environment doit avoir TLS 1.0 et 1.1 désactivés | Les protocoles TLS 1.0 et 1.1 sont des protocoles obsolètes qui ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans App Service Environment. | Audit, Refuser, Désactivé | 2.0.1 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements des applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d'authentification locales pour les déploiements FTP améliore la sécurité en garantissant qu'App Services requiert exclusivement les identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d'authentification locales pour les sites SCM améliore la sécurité en garantissant qu'App Services requiert exclusivement des identités Microsoft Entra pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts dans une application de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.1.0 |
| Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.1.0 |
| Activer la journalisation par groupe de catégories pour App Service (microsoft.web/sites) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Service Environments (microsoft.web/hostingenvironments) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour App Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Service Environments (microsoft.web/hostingenvironments) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour App Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Service Environments (microsoft.web/hostingenvironments) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour App Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour une application de fonction (microsoft.web/sites) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour une application de fonction (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les emplacements des applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements d’application de fonction doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les emplacement d’application de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacement d’application de fonction qui utilisent Python doivent utiliser une 'version de Python' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. | Audit, Désactivé, Refus | 1.0.0 |
| L’authentification doit être activée pour les applications de fonction | L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les applications de fonction qui utilisent Java doivent utiliser une « version de Java » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications de fonction qui utilisent Python doivent utiliser une « version de Python » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
Notes de publication
Octobre 2024
- TLS 1.3 est désormais pris en charge dans les applications et emplacements App Service. Les stratégies suivantes ont été mises à jour pour appliquer la définition de la version minimale de TLS à la version 1.3 :
- « Les applications App Service doivent utiliser la dernière version TLS »
- « Les emplacements d’application App Service doivent utiliser la dernière version TLS »
- « Configurer des applications App Service pour utiliser la dernière version TLS »
- « Configurer les emplacements d’application App Service pour utiliser la dernière version TLS »
- « Les applications de fonction doivent utiliser la dernière version TLS »
- « Configurer des applications de fonction pour utiliser la dernière version TLS »
- « Les emplacements d’application de fonction doivent utiliser la dernière version TLS »
- « Configurer des emplacements d’application de fonction pour utiliser la dernière version TLS »
Avril 2023
- Les applications App Service qui utilisent Java doivent utiliser la dernière « version Java »
- Renommage de la stratégie en « Les applications App Service qui utilisent Java doivent utiliser une 'version de Java' spécifiée »
- Mettre à jour la stratégie afin qu’elle nécessite une spécification de version avant d’être attribuée
- Les applications App Service qui utilisent Python doivent utiliser la dernière « version Python »
- Renommage de la stratégie en « Les applications App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée »
- Mettre à jour la stratégie afin qu’elle nécessite une spécification de version avant d’être attribuée
- Les applications de fonctions qui utilisent Java doivent utiliser la dernière « version Java »
- Renommer la stratégie en « Les applications de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée »
- Mettre à jour la stratégie afin qu’elle nécessite une spécification de version avant d’être attribuée
- Les applications de fonctions qui utilisent Python doivent utiliser la dernière « version Python »
- Renommage de la stratégie en « Les applications de fonction qui utilisent Python doivent utiliser une 'version de Python' spécifiée »
- Mettre à jour la stratégie afin qu’elle nécessite une spécification de version avant d’être attribuée
- Les applications App Service qui utilisent PHP doivent utiliser la dernière « version PHP »
- Renommage de la stratégie « Les applications App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée »
- Mettre à jour la stratégie afin qu’elle nécessite une spécification de version avant d’être attribuée
- Les emplacement d’application App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée
- Nouvelle stratégie créée
- Les emplacement d’application de fonction qui utilisent Python doivent utiliser une 'version de Python' spécifiée
- Nouvelle stratégie créée
- Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée
- Nouvelle stratégie créée
- Les emplacement d’application App Service qui utilisent Java doivent utiliser une 'version de Java' spécifiée
- Nouvelle stratégie créée
- Les emplacement d’application de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée
- Nouvelle stratégie créée
Novembre 2022
- Dépréciation de la stratégie Les applications App Service doivent autoriser le trafic sortant non RFC 1918 vers le Réseau virtuel Azure
- Remplacement par une stratégie portant le même nom d’affichage, basée sur la propriété de site pour prendre en charge l’effet Deny
- Dépréciation de la stratégie Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure
- Remplacement par une stratégie portant le même nom d’affichage, basée sur la propriété de site pour prendre en charge l’effet Deny
- Les applications App Service doivent activer le trafic sortant non-RFC 1918 vers Azure Réseau virtuel
- Nouvelle stratégie créée
- Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure
- Nouvelle stratégie créée
- Les applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure
- Nouvelle stratégie créée
- Les emplacements des applications App Service doivent activer le routage de configuration vers Réseau virtuel Azure
- Nouvelle stratégie créée
Octobre 2022
- Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction
- Nouvelle stratégie créée
- Le débogage à distance doit être désactivé pour les emplacements des applications App Service
- Nouvelle stratégie créée
- Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP »
- Nouvelle stratégie créée
- Les emplacements des applications de fonction doivent utiliser la dernière version TLS
- Nouvelle stratégie créée
- Les emplacements des applications App Service doivent utiliser la dernière version de TLS
- Nouvelle stratégie créée
- Les journaux de ressource doivent être activés pour les emplacements des applications App Service
- Nouvelle stratégie créée
- Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure
- Nouvelle stratégie créée
- Les emplacements des applications App Service doivent utiliser une identité managée
- Nouvelle stratégie créée
- Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP »
- Nouvelle stratégie créée
- Dépréciation de la stratégie Configurer App Services pour désactiver l’accès au réseau public
- Remplacement par « Configurer les applications App Services pour désactiver l’accès réseau public »
- Dépréciation de la stratégie App Services doit désactiver l’accès au réseau public
- Remplacement par « Les applications App Service doivent désactiver l’accès au réseau public » pour prendre en charge l’effet Refuser
- Les applications App Service doivent désactiver l’accès réseau public
- Nouvelle stratégie créée
- Les emplacements de l’application App Service doivent désactiver l'accès réseau public
- Nouvelle stratégie créée
- Configurer les applications App Services pour désactiver l’accès réseau public
- Nouvelle stratégie créée
- Configurer les emplacements des applications App Services pour désactiver l’accès réseau public
- Nouvelle stratégie créée
- Les applications de fonction doivent désactiver l'accès réseau public
- Nouvelle stratégie créée
- Les emplacements des applications de fonction doivent désactiver l'accès réseau public
- Nouvelle stratégie créée
- Configurer les applications de fonction pour désactiver l’accès réseau public
- Nouvelle stratégie créée
- Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public
- Nouvelle stratégie créée
- Configurer les emplacements des applications App Service pour désactiver le débogage à distance
- Nouvelle stratégie créée
- Configurer les emplacements des applications de fonction pour désactiver le débogage à distance
- Nouvelle stratégie créée
- Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS
- Nouvelle stratégie créée
- Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS
- Nouvelle stratégie créée
- Les applications App Service doivent utiliser la dernière « version HTTP »
- Mettre à jour l’étendue pour inclure des applications Windows
- Les applications de fonctions doivent utiliser la dernière « version HTTP »
- Mettre à jour l’étendue pour inclure des applications Windows
- Les applications App Service Environment ne doivent pas être accessibles via Internet public
- Modifier la définition de stratégie pour supprimer la vérification de la version de l’API
Septembre 2022
- Les applications App Service doivent être injectées dans un réseau virtuel
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de la stratégie « Les emplacements d’application App Service doivent être injectés dans un réseau virtuel » pour surveiller les emplacements
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application App Service doivent être injectés dans un réseau virtuel
- Nouvelle stratégie créée
- Les applications de fonction doivent avoir l’option « Certificats clients (certificats clients entrants) » activée
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de la stratégie « Les emplacements d’application de fonction doivent avoir l’option "Certificats clients (certificats clients entrants)" activée» pour surveiller les emplacements
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application de fonction doivent avoir l’option "Certificats clients (certificats clients entrants)" activée
- Nouvelle stratégie créée
- Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de la stratégie « Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu » pour surveiller les emplacements
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu
- Nouvelle stratégie créée
- Les applications App Service doivent avoir les « Certificats clients (certificats clients entrants) » activés
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de la stratégie « Les emplacements d’application App Service doivent avoir l’option "Certificats clients (certificats clients entrants)" activée» pour surveiller les emplacements
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application App Service doivent avoir l’option "Certificats clients (certificats clients entrants)" activée
- Nouvelle stratégie créée
- Les applications App Service doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de la stratégie « Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu » pour surveiller les emplacements
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu
- Nouvelle stratégie créée
- Les emplacements d’application de fonction doivent exiger FTPS uniquement
- Nouvelle stratégie créée
- Les emplacements d’application App Service doivent exiger FTPS uniquement
- Nouvelle stratégie créée
- Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications
- Nouvelle stratégie créée
- Les emplacements d’application App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à votre application
- Nouvelle stratégie créée
- Les applications Function App ne doivent être accessibles que via HTTPS
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de la stratégie « Les emplacements d’application de fonction doivent être accessibles seulement via HTTPS » pour surveiller les emplacements
- Ajouter un effet « Refuser »
- Création de la stratégie « Configurer les applications de fonction pour être accessibles seulement via HTTPS » pour l’application de la stratégie
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS
- Nouvelle stratégie créée
- Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS
- Nouvelle stratégie créée
- Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS
- Nouvelle stratégie créée
- Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée
- Mettre à jour la liste des références SKU de stratégie prises en charge afin d’inclure le niveau standard de workflow pour Logic Apps
- Configurer les applications App Service pour utiliser la dernière version de TLS
- Nouvelle stratégie créée
- Configurer les applications de fonction pour utiliser la dernière version de TLS
- Nouvelle stratégie créée
- Configurer les applications App Service pour désactiver le débogage à distance
- Nouvelle stratégie créée
- Configurer des applications de fonction pour désactiver le débogage à distance
- Nouvelle stratégie créée
Août 2022
- Les applications App Service doivent être accessibles uniquement via HTTPS
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Création de « Les emplacements d’application App Service doit être accessible seulement via HTTPS » pour surveiller les emplacements
- Ajouter un effet « Refuser »
- Création de « Configurer les applications App Service pour être accessibles seulement via HTTPS » pour l’application de la stratégie
- Mettre à jour l’étendue de la stratégie de façon à supprimer des emplacements
- Les emplacements d’application App Service doivent être accessibles seulement via HTTPS
- Nouvelle stratégie créée
- Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS
- Nouvelle stratégie créée
- Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS
- Nouvelle stratégie créée
Juillet 2022
- Abandon des stratégies suivantes :
- Vérifier que « Certificats clients (certificats clients entrants) » est activé pour l’application API
- Vérifier que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application API
- CORS ne doit pas autoriser toutes les ressources à accéder à votre application API
- Une identité managée doit être utilisée dans votre application API
- Le débogage à distance doit être désactivé pour les applications API
- Vérifier que la version de PHP est la plus récente, si elle est utilisée dans le cadre de l’application API
- Les applications API doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu
- FTPS uniquement doit être exigé dans votre application API
- Vérifier que la version de Java est la plus récente, si elle est utilisée dans le cadre de l’application API
- Vérifier que la version de HTTP est la plus récente, si elle est utilisée pour exécuter l’application API
- La dernière version de TLS doit être utilisée dans votre application API
- L’authentification doit être activée sur votre application API
- Les applications de fonction doivent avoir l’option « Certificats clients (certificats clients entrants) » activée
- Mettre à jour la stratégie de façon à inclure des emplacements
- Mettre à jour la stratégie de façon à exclure des applications logiques
- Vérifier que « Certificats clients (certificats clients entrants) » est activé pour l’application web
- Renommer la stratégie en « Les applications App Service doivent avoir "Certificats clients (certificats clients entrants)" activés »
- Mettre à jour la stratégie de façon à inclure des emplacements
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Vérifier que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application web
- Renommer la stratégie « Les applications App Service qui utilisent Python doivent utiliser la dernière "version Python" »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Vérifier que la version de Python est la plus récente, si elle est utilisée dans le cadre de l’application de fonction
- Renommer la stratégie « Les applications de fonction qui utilisent Python doivent utiliser la dernière "version Python" »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- CORS ne doit pas autoriser toutes les ressources à accéder à vos applications web
- Renommer la stratégie « Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- CORS ne doit pas autoriser toutes les ressources à accéder à votre application de fonction
- Renommer la stratégie « Les applications de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- Une identité managée doit être utilisée dans votre application de fonction
- Renommer la stratégie en « Les applications de fonction doivent utiliser une identité managée »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- Une identité managée doit être utilisée dans votre application web
- Renommer la stratégie en « Les applications App Service doivent utiliser une identité managée »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Le débogage à distance doit être désactivé pour les applications de fonction
- Renommer la stratégie en « Le débogage à distance doit être désactivé pour les applications de fonction »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- Le débogage à distance doit être désactivé pour les applications web
- Renommer la stratégie en « Le débogage à distance doit être désactivé pour les applications App Service »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Vérifier que la version de PHP est la plus récente, si elle est utilisée dans le cadre de l’application web
- Renommer la stratégie « Les applications App Service qui utilisent PHP doivent utiliser la dernière "version PHP" »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Dans les emplacements App Service, les méthodes d’authentification locale doivent être désactivées pour les déploiements de sites SCM
- Renommer la stratégie en « Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM »
- Dans App Service, les méthodes d’authentification locale doivent être désactivées pour les déploiements de sites SCM
- Renommer la stratégie en « Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM »
- Dans les emplacements App Service, les méthodes d’authentification locale doivent être désactivées pour les déploiements FTP
- Renommer la stratégie en « Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP »
- Dans App Service, les méthodes d’authentification locale doivent être désactivées pour les déploiements FTP
- Renommer la stratégie en « Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP »
- Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu
- Mettre à jour la stratégie de façon à inclure des emplacements
- Mettre à jour la stratégie de façon à exclure des applications logiques
- Les applications web doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu
- Renommer la stratégie en « Les applications App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu »
- Mettre à jour la stratégie de façon à inclure des emplacements
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- FTPS uniquement doit être exigé dans votre application de fonction
- Renommer la stratégie en « Les applications de fonction doivent exiger FTPS uniquement »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- FTPS doit être exigé dans votre application web
- Renommer la stratégie en « Les applications App Service doivent exiger FTPS uniquement »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Vérifier que la version de Java est la plus récente, si elle est utilisée dans le cadre de l’application de fonction
- Renommer la stratégie en « Les applications de fonction qui utilisent Java doivent utiliser la dernière "version Java" »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- Vérifier que la version de Java est la plus récente, si elle est utilisée dans le cadre de l’application web
- Renommer la stratégie en « Les applications App Service qui utilisent Java doivent utiliser la dernière "version Java" »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- App Service doit utiliser un lien privé
- Renommer la stratégie en « Les applications App Service doivent utiliser une liaison privée »
- Configurer App Services pour utiliser des zones DNS privées
- Renommer la stratégie en « Configurer les applications App Service de manière à utiliser des zones DNS privées »
- Les applications App Service doivent être injectées dans un réseau virtuel
- Renommer la stratégie en « Les applications App Service doivent être injectées dans un réseau virtuel »
- Mettre à jour la stratégie de façon à inclure des emplacements
- Vérifier que la version de HTTP est la plus récente, si elle est utilisée pour exécuter l’application web
- Renommer la stratégie en « Les applications App Service doivent utiliser la dernière "version HTTP" »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Vérifier que la version de HTTP est la plus récente, si elle est utilisée pour exécuter l’application de fonction
- Renommer la stratégie en « Les applications de fonction doivent utiliser la dernière "version HTTP" »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- La dernière version de TLS doit être utilisée dans votre application web
- Renommer la stratégie en « Les applications App Service doivent utiliser la dernière version TLS »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- La dernière version de TLS doit être utilisée dans votre application de fonction
- Renommer la stratégie en « Les applications de fonction doivent utiliser la dernière version TLS »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- App Service Environment doit désactiver TLS 1.0 et 1.1
- Renommer la stratégie en « App Service Environment doit avoir TLS 1.0 et 1.1 désactivés »
- Les journaux de ressource dans App Services doivent être activés
- Renommer la stratégie en « Les applications App Service doivent avoir activé les journaux des ressources »
- L’authentification doit être activée sur votre application web
- Renommer la stratégie en « Les applications App Service doivent avoir l’authentification activée »
- L’authentification doit être activée sur votre application de fonction
- Renommer la stratégie en « Les applications de fonction doivent avoir l’authentification activée »
- Mettre à jour la stratégie de façon à exclure des applications logiques
- App Service Environment doit activer le chiffrement interne
- Renommer la stratégie « App Service Environment doit avoir le chiffrement interne activé »
- Les applications Function App ne doivent être accessibles que via HTTPS
- Mettre à jour la stratégie de façon à exclure des applications logiques
- App Service doit utiliser un point de terminaison de service de réseau virtuel
- Renommer la stratégie « Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
Juin 2022
- Abandon de la stratégie L’application API doit uniquement être accessible via HTTPS
- L’application web ne doit pas être accessible via HTTPS
- Renommer la stratégie en « Les applications App Service doivent être accessibles uniquement via HTTPS »
- Mettre à jour la stratégie de manière à inclure tous les types d’applications à l’exception des applications de fonction
- Mettre à jour la stratégie de façon à inclure des emplacements
- Les applications Function App ne doivent être accessibles que via HTTPS
- Mettre à jour la stratégie de façon à inclure des emplacements
- Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée
- Mise à jour de la logique de la stratégie de manière à inclure des vérifications au niveau du plan App Service ou du nom afin que la stratégie prenne en charge les déploiements Terraform
- Mettre à jour la liste de références SKU prises en charge de la stratégie de manière à inclure les niveaux De base et Standard
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.