Definizioni predefinite di Criteri di Azure per Azure Resource Manager
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Azure Resource Manager. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Azure Resource Manager
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Aggiungi un tag ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Add a tag to subscriptions (Aggiungi un tag alle sottoscrizioni) | Aggiunge il tag e il valore specificati alle sottoscrizioni tramite un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nei gruppi di risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Add or replace a tag on subscriptions (Aggiungi o sostituisci un tag nelle sottoscrizioni) | Aggiunge o sostituisce il tag e il valore specificati nelle sottoscrizioni tramite un'attività di correzione. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Località consentite per i gruppi di risorse | Questi criteri consentono di limitare le località in cui l'organizzazione può creare gruppi di risorse. Usare per imporre requisiti di conformità geografica. | rifiutare | 1.0.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 3.0.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Aggiungi tag e relativo valore predefinito ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. Non modifica i tag dei gruppi di risorse creati prima dell'applicazione di questo criterio finché tali gruppi di risorse non vengono modificati. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i database relazionali open source deve essere abilitato | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Ulteriori informazioni sulle funzionalità di Defender di Azure per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | AuditIfNotExists, Disabled | 1.0.0 |
| Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. | AuditIfNotExists, Disabled | 2.0.0 |
| La soluzione 'Sicurezza e controllo' di Monitoraggio di Azure deve essere distribuita | Questo criterio garantisce che il servizio Sicurezza e controllo sia distribuito. | AuditIfNotExists, Disabled | 1.0.0 |
| Le sottoscrizioni di Azure devono avere un profilo di log per il log attività | Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare i log attività di Azure per il flusso nell'area di lavoro Log Analytics specificata | Implementa le impostazioni di diagnostica per l'attività di Azure per trasmettere i log di audit delle sottoscrizioni in un'area di lavoro Log Analytics per monitorare gli eventi a livello di sottoscrizione | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per i servizi app da abilitare | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i server di database SQL di Azure da abilitare | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i database relazionali open source da abilitare | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Ulteriori informazioni sulle funzionalità di Defender di Azure per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per Resource Manager per l'abilitazione | Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare Azure Defender per i server da abilitare | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i server SQL nelle macchine virtuali da abilitare) | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Microsoft Defender per Archiviazione di base per l'abilitazione (solo monitoraggio attività) | Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà le funzionalità di base di Defender per l'archiviazione (monitoraggio attività). Per abilitare la protezione completa, che include anche l'analisi malware on-upload e il rilevamento delle minacce sensibili, usare i criteri di abilitazione completi: aka.ms/DefenderForStoragePolicy. Per ulteriori informazioni sulle funzionalità e sui vantaggi di Defender per Archiviazione, visitare aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery | Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare l'area di lavoro Log Analytics e l'account di automazione per centralizzare i log e il monitoraggio | Distribuire un gruppo di risorse contenente l'area di lavoro Log Analytics e l'account di automazione collegato per centralizzare i log e il monitoraggio. L'account di automazione è un prerequisito per soluzioni come Aggiornamenti e Rilevamento modifiche. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configurare il piano CSPM di Microsoft Defender | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender CSPM per l'abilitazione | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Microsoft Defender per Azure Cosmos DB per l'abilitazione | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il piano di Microsoft Defender per contenitori | Le nuove funzionalità vengono aggiunte continuamente al piano Defender per contenitori, che potrebbe richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per contenitori da abilitare | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura le impostazioni di integrazione di Microsoft Defender per endpoint, all'interno di Microsoft Defender for Cloud (noto anche come WDATP_EXCLUDE_LINUX_...), per abilitare il provisioning automatico di MDE per i server Linux. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://zcusa.951200.xyz/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura le impostazioni di integrazione di Microsoft Defender per endpoint, all'interno di Microsoft Defender for Cloud (noto anche come WDATP_UNIFIED_SOLUTION), per abilitare il provisioning automatico di MDE Unified Agent per Windows Server 2012R2 e 2016. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://zcusa.951200.xyz/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender for Cloud (WDATP) | Configura le impostazioni di integrazione di Microsoft Defender per endpoint, all'interno di Microsoft Defender for Cloud (noto anche come WDATP), per i computer Windows di livello inferiore di cui è stato eseguito l'onboarding in MDE tramite MMA e il provisioning automatico di MDE in Windows Server 2019 , Desktop virtuale Windows e versioni successive. Deve essere attivato affinché le altre impostazioni (WDATP_UNIFIED e così via) funzionino. Per altre informazioni, vedere https://zcusa.951200.xyz/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il piano di Microsoft Defender per Key Vault | Microsoft Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare il piano di Microsoft Defender per server | Le nuove funzionalità vengono aggiunte continuamente a Defender per server, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per Archiviazione (versione classica) per l'abilitazione | Microsoft Defender per Archiviazione (versione classica) offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Microsoft Defender per Archiviazione per l'abilitazione | Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà tutte le funzionalità di Defender for Storage; Monitoraggio delle attività, analisi malware e rilevamento delle minacce per i dati sensibili. Per ulteriori informazioni sulle funzionalità e sui vantaggi di Defender per Archiviazione, visitare aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare la protezione dalle minacce di Microsoft Defender per i carichi di lavoro di intelligenza artificiale | Nuove funzionalità vengono aggiunte continuamente alla protezione dalle minacce per i carichi di lavoro di intelligenza artificiale, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le sottoscrizioni per configurare le funzionalità di anteprima | Questo criterio valuta le funzionalità di anteprima della sottoscrizione esistente. Le sottoscrizioni possono essere corrette per la registrazione a una nuova funzionalità di anteprima. Le nuove sottoscrizioni non verranno registrate automaticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Distribuisci/Configura regole di eliminazione per gli avvisi del Centro sicurezza di Azure | Consente di eliminare gli avvisi del Centro sicurezza di Azure per ridurre il numero eccessivo di avvisi mediante la distribuzione di regole di eliminazione nel gruppo di gestione o nella sottoscrizione. | deployIfNotExists | 1.0.0 |
| Distribuire l'esportazione in Hub eventi come servizio attendibile per i dati di Microsoft Defender per il cloud | Abilitare l'esportazione in Hub eventi come servizio attendibile dei dati di Microsoft Defender for Cloud. Questo criterio distribuisce un'esportazione in Event Hub come configurazione di servizio attendibile con le condizioni e l'Event Hub di destinazione sull'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire l'esportazione nell'hub eventi per i dati di Microsoft Defender per cloud | Abilitare l'esportazione nell'hub eventi dei dati di Microsoft Defender for Cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'hub eventi con le condizioni e l'hub eventi di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.2.0 |
| Distribuire l'esportazione nell'area di lavoro Log Analytics per i dati di Microsoft Defender per cloud | Abilitare l'esportazione nell'area di lavoro Log Analytics dei dati di Microsoft Defender for Cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'area di lavoro Log Analytics con le condizioni e l'area di lavoro di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.1.0 |
| Distribuire l'automazione del flusso di lavoro per gli avvisi di Microsoft Defender for Cloud | Abilitare l'automazione degli avvisi di Microsoft Defender for Cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Distribuire l'automazione del flusso di lavoro per i consigli di Microsoft Defender for Cloud | Abilitare l'automazione delle raccomandazioni di Microsoft Defender for Cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Distribuire l'automazione del flusso di lavoro per la conformità alle normative di Microsoft Defender per il cloud | Abilitare l'automazione della conformità alle normative di Microsoft Defender for Cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Abilitare Microsoft Defender per il cloud nelle sottoscrizioni | Identifica le sottoscrizioni esistenti che non vengono monitorate da Microsoft Defender for Cloud e le protegge con le funzionalità gratuite di Defender for Cloud. Le sottoscrizioni già monitorate verranno considerate conformi. Per registrare le sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 1.0.1 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro personalizzata. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite un'area di lavoro personalizzata. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro predefinita. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite l'area di lavoro predefinita del Centro sicurezza di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilitare la protezione dalle minacce per i carichi di lavoro di intelligenza artificiale | La protezione dalle minacce Microsoft per i carichi di lavoro di intelligenza artificiale fornisce avvisi di sicurezza contestualizzati basati sulle prove per proteggere le applicazioni basate su intelligenza artificiale generative create in casa | DeployIfNotExists, Disabled | 1.0.0 |
| Escludere le risorse dei costi di utilizzo | Questo criterio consente di estrarre le risorse dei costi di utilizzo. I costi di utilizzo includono elementi come l'archiviazione a consumo e le risorse di Azure fatturate in base all'utilizzo. | Audit, Deny, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per le API deve essere abilitato | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati sulle API e le configurazioni errate della sicurezza. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender per Azure Cosmos DB deve essere abilitato | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per archiviazione deve essere abilitato | Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Impone un tag obbligatorio con il relativo valore ai gruppi di risorse. | rifiutare | 1.0.0 |
| Richiedi tag sui gruppi di risorse | Impone l'esistenza di un tag sui gruppi di risorse. | rifiutare | 1.0.0 |
| Configurare le sottoscrizioni per la transizione a una soluzione di valutazione della vulnerabilità alternativa | Microsoft Defender per il cloud offre l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. L'abilitazione di questo criterio farà in modo che Defender per il cloud propaghi automaticamente i risultati dalla soluzione di gestione delle vulnerabilità di Microsoft Defender incorporata a tutti i computer supportati. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.