Définitions intégrées d’Azure Policy pour Azure Resource Manager
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Azure Resource Manager. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Azure Resource Manager
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le journal d’activité doit être conservé pendant au moins un an | Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). | AuditIfNotExists, Désactivé | 1.0.0 |
| Ajouter une étiquette aux groupes de ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe de ressources auquel cette étiquette manque. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. | modify | 1.0.0 |
| Ajouter une étiquette aux abonnements | Ajoute l’étiquette et la valeur spécifiées aux abonnements par le biais d’une tâche de correction. Si l’étiquette existe avec une valeur différente, elle n’est pas modifiée. Consultez https://aka.ms/azurepolicyremediation pour plus d’informations sur la correction d’une stratégie. | modify | 1.0.0 |
| Ajouter ou remplacer une étiquette sur des groupes de ressources | Ajoute ou remplace l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe de ressources. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. | modify | 1.0.0 |
| Ajouter ou remplacer une étiquette dans les abonnements | Ajoute ou remplace l’étiquette et la valeur spécifiées sur des abonnements par le biais d’une tâche de correction. Il est possible de corriger des groupes de ressources existants en déclenchant une tâche de correction. Consultez https://aka.ms/azurepolicyremediation pour plus d’informations sur la correction d’une stratégie. | modify | 1.0.0 |
| Emplacements autorisés pour les groupes de ressources | Cette stratégie vous permet de restreindre les emplacements où votre organisation peut créer des groupes de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. | deny | 1.0.0 |
| Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques | Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Ajouter une étiquette et sa valeur aux groupes de ressources | Ajoute l’étiquette et la valeur indiquées lors de la création ou de la mise à jour d’un groupe ressource auquel cette étiquette manque. Ne modifie pas les étiquettes des groupes de ressources créés avant l’application de cette stratégie, tant que ces groupes de ressources ne sont pas modifiés. De nouvelles stratégies d’effet de « modification » sont disponibles pour prendre en charge la remédiation des étiquettes sur les ressources existantes (voir https://aka.ms/modifydoc). | append | 1.0.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doit être activé | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » | Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Monitor doit collecter les journaux d’activité dans toutes les régions | Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. | AuditIfNotExists, Désactivé | 2.0.0 |
| La solution 'Security and Audit' d’Azure Monitor doit être déployée | Cette stratégie garantit que la solution Security and Audit est déployée. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité | Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer les journaux d’activité Azure dans le flux vers l’espace de travail Log Analytics spécifié | Déploie les paramètres de diagnostic de l’activité Azure sur les journaux d’audit des abonnements de flux dans un espace de travail Log Analytics pour surveiller les événements au niveau de l’abonnement | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Defender pour activer App Service | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer la base de données Azure SQL | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer les bases de données relationnelles open source | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Defender pour activer Resource Manager | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer Azure Defender pour activer les serveurs | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer les serveurs SQL sur des machines | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer l’activation de Microsoft Defender pour le stockage de base (supervision de l’activité uniquement) | Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Cette stratégie active les fonctionnalités de base de Defender pour le stockage (supervision de l’activité). Pour activer la protection complète, qui inclut également l’analyse des programmes malveillants lors du chargement et la détection des menaces ciblant des données sensibles, utilisez la stratégie d’activation complète : aka.ms/DefenderForStoragePolicy. Pour en savoir plus sur les fonctionnalités et les avantages de Defender pour le stockage, consultez la page aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer la reprise d’activité sur les machines virtuelles en activant la réplication avec Azure Site Recovery | Les machines virtuelles sans configuration de récupération d’urgence sont vulnérables aux pannes et autres interruptions. Si la récupération d’urgence n’est pas encore configurée sur la machine virtuelle, cette opération produit le même effet en activant la réplication à l’aide de configurations prédéfinies pour faciliter la continuité des activités. Vous pouvez éventuellement inclure/exclure des machines virtuelles contenant une étiquette spécifiée pour contrôler l’étendue de l’attribution. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer un espace de travail Log Analytics et le compte Automation pour centraliser les journaux et la surveillance | Déployez le groupe de ressources contenant un espace de travail Log Analytics et le compte Automation lié pour centraliser les journaux et la surveillance. Le compte Automation est un prérequis pour des solutions telles que les mises à jour et Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configurer un plan Microsoft Defender CSPM | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender CSPM pour qu’il soit activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer Microsoft Defender pour Azure Cosmos DB à activer | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un plan Microsoft Defender pour les conteneurs | De nouvelles fonctionnalités sont ajoutées en permanence au plan Defender pour conteneurs, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender pour les conteneurs à activer | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP_EXCLUDE_LINUX...) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP_EXCLUDE_LINUX_...), pour activer l’approvisionnement automatique de MDE pour les serveurs Linux. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP_UNIFIED_SOLUTION) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP_UNIFIED_SOLUTION), pour activer l’approvisionnement automatique de l’agent unifié MDE pour Windows Server 2012R2 et 2016. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP), pour les machines de niveau inférieur Windows intégrées à MDE via MMA et l’approvisionnement automatique de MDE sur Windows Server 2019, Windows Virtual Desktop et versions ultérieures. Doit être activé pour que les autres paramètres (WDATP_UNIFIED, etc.) fonctionnent. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer le plan Microsoft Defender pour Key Vault | Microsoft Defender pour Key Vault fournit une couche supplémentaire de protection et d’informations de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès aux comptes de coffre de clés ou d’exploitation de ceux-ci. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer le plan Microsoft Defender pour serveurs | De nouvelles fonctionnalités sont ajoutées en permanence à Defender pour serveurs, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation de Microsoft Defender pour le stockage (classique) | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer l’activation de Microsoft Defender pour le stockage | Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Cette stratégie active toutes les fonctionnalités de Defender pour le stockage : supervision de l’activité, analyse des programmes malveillants et détection des menaces ciblant des données sensibles. Pour en savoir plus sur les fonctionnalités et les avantages de Defender pour le stockage, consultez la page aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer la protection contre les menaces Microsoft Defender pour les charges de travail d’IA | De nouvelles fonctionnalités sont sans cesse ajoutées à la protection contre les menaces pour les charges de travail d’IA, ce qui peut nécessiter une activation explicite des utilisateurs. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des abonnements pour configurer des fonctionnalités d’évaluation | Cette stratégie évalue les fonctionnalités d’évaluation de l’abonnement existant. Les abonnements peuvent être corrigés pour s’inscrire à une nouvelle fonctionnalité d’évaluation. Les nouveaux abonnements ne seront pas automatiquement inscrits. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.1 |
| Déployer - Configurer des règles de suppression pour les alertes Azure Security Center | Supprimez des alertes Azure Security Center pour réduire un trop grand nombre d’alertes en déployant des règles de suppression sur votre groupe d’administration ou votre abonnement. | deployIfNotExists | 1.0.0 |
| Déployer l'exportation vers Event Hub en tant que service approuvé pour les données Microsoft Defender pour le cloud | Activez l’exportation vers Event Hub en tant que service approuvé des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation sur Event Hub en tant que service approuvé avec vos conditions et votre instance Event Hub cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer l’exportation vers Event Hub pour les données Microsoft Defender pour le cloud | Activer l’exportation vers Event Hub des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers Event Hub avec vos conditions et un hub d’événements cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.2.0 |
| Déployer l’exportation vers l’espace de travail Log Analytics pour les données Microsoft Defender pour le cloud | Activer l’exportation vers l’espace de travail Log Analytics des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers un espace de travail Log Analytics avec vos conditions et un espace de travail cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.1.0 |
| Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud | Activez l’automatisation des alertes Microsoft Defender pour cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud | Activez l’automatisation des recommandations de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud | Permettre l’automatisation de la conformité réglementaire de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.2.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Activer Microsoft Defender pour le cloud dans votre abonnement | Identifie les abonnements existants qui ne font pas l’objet d’un monitoring par Microsoft Defender pour le cloud, et les protège avec les fonctionnalités gratuites de Defender pour le cloud. Les abonnements faisant déjà l’objet d’un monitoring sont considérés comme conformes. Pour inscrire les abonnements venant d’être créés, ouvrez l’onglet de conformité, sélectionnez l’affectation non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 1.0.1 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec un espace de travail personnalisé. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide d’un espace de travail personnalisé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec l’espace de travail par défaut. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide de l’espace de travail ASC par défaut. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activer la protection contre les menaces pour les charges de travail d’IA | La protection contre les menaces de Microsoft pour les charges de travail d’IA fournit des alertes de sécurité contextuelles basées sur des preuves et destinées à protéger les applications basées sur l’IA générative développées localement | DeployIfNotExists, Désactivé | 1.0.0 |
| Exclure les ressources des coûts d’utilisation | Cette stratégie vous permet d’exclure des ressources de coûts d’utilisation. Les coûts d’utilisation incluent des éléments tels que le stockage mesuré et les ressources Azure qui sont facturées en fonction de l’utilisation. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender CSPM doit être activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour API doit être activé | Microsoft Defender pour API fournit une nouvelle couverture de découverte, de protection, de détection et de réponse pour surveiller les attaques basées sur les API courantes et les configurations de sécurité incorrectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Defender pour Azure Cosmos DB doit être activé | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Exiger une étiquette et sa valeur sur les groupes de ressources | Applique une étiquette obligatoire avec sa valeur aux groupes de ressources. | deny | 1.0.0 |
| Exiger une étiquette sur les groupes de ressources | Applique l’existence d’une étiquette sur des groupes de ressources. | deny | 1.0.0 |
| Configurer des abonnements pour passer à une autre solution d'évaluation des vulnérabilités | Microsoft Defender pour le cloud propose une analyse des vulnérabilités pour vos machines sans frais supplémentaires. L'activation de cette stratégie entraînera la propagation automatique par Defender pour Cloud des résultats de la solution intégrée de gestion des vulnérabilités Microsoft Defender à toutes les machines prises en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.