適用於 Azure AI 服務的 Azure 原則內建原則定義
此頁面是適用於 Azure AI 服務的 Azure 原則內建原則定義索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure AI 服務
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 使用客戶管理的金鑰來加密待用資料,可提供對金鑰生命週期的更多控制,包括輪替和管理。 這與具有相關合規性需求的組織特別相關。 根據預設,這不會進行評估,而且只有在合規性或限制性原則需求需要時才應套用。 如果未啟用,則會使用平台管理的金鑰來加密資料。 若要實作此作業,請在適用範圍的安全原則中更新 'Effect' 參數。 | Audit, Deny, Disabled | 2.2.0 |
| Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 建議停用金鑰存取 (本機驗證) 以確保安全性。 通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取,如果金鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低權限準則和細微控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| Azure AI 服務資源應該使用 Azure Private Link | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線,以降低資料外洩風險。 深入了解私人連結,請造訪:https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| 認知服務帳戶應使用受控識別 | 將受控識別指派給您的認知服務帳戶,有助於確保進行安全驗證。 此認知服務帳戶會使用此身分識別,以如 Azure Key Vault 等安全的方式與其他 Azure 服務通訊,而不需管理任何認證。 | Audit, Deny, Disabled | 1.0.0 |
| 認知服務帳戶應使用客戶擁有的儲存體 | 使用客戶擁有的儲存體來控制在認知服務中儲存的待用資料。 若要深入瞭解客戶擁有的儲存體,請造訪 https://aka.ms/cogsvc-cmk。 | Audit, Deny, Disabled | 2.0.0 |
| 設定 Azure AI 服務資源應以停用本機金鑰存取 (停用本機驗證) | 建議停用金鑰存取 (本機驗證) 以確保安全性。 通常用於開發/測試的 Azure OpenAI 工作室需要金鑰存取,如果金鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低權限準則和細微控制。 深入了解:https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| 設定認知服務帳戶以停用本機驗證方法 | 停用本機驗證方法,讓您的認知服務帳戶要求 Azure Active Directory 以獨佔方式識別來進行驗證。 深入了解:https://aka.ms/cs/auth。 | 修改、停用 | 1.0.0 |
| 設定認知服務帳戶以停用公用網路存取 | 停用認知服務資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://go.microsoft.com/fwlink/?linkid=2129800。 | 已停用,修改 | 3.0.0 |
| 使用私人端點設定認知服務帳戶 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | DeployIfNotExists, Disabled | 3.0.0 |
| 應啟用 Azure AI 服務資源中的診斷記錄 | 啟用 Azure AI 服務資源的記錄。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
| 啟用認知服務 (microsoft.cognitiveservices/accounts) 至事件中樞的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的事件中樞 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 啟用認知服務 (microsoft.cognitiveservices/accounts) 至 Log Analytics 的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的 Log Analytics 工作區 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 啟用認知服務 (microsoft.cognitiveservices/accounts) 至儲存體的類別群組記錄 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,將記錄路由傳送至認知服務的儲存體帳戶 (microsoft.cognitiveservices/accounts)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。