適用於 Azure AI 服務的 Azure 原則法規合規性控制措施
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面會列出適用於 Azure AI 服務的合規性網域和安全性控制。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 存取控制 | AC.2.016 | 根據已核准的授權來控制 CUI 流程。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC.3.177 | 採用 FIPS 驗證的加密來保護 CUI 的機密性。 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (1) | 自動化系統帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (7) | 角色型配置 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-3 | 強制存取 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-4 | 資訊流程強制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-4 | 資訊流程強制 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 存取控制 | AC-17 | 遠端存取 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-17 (1) | 自動化監視/控制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 驗證與授權 | IA-2 | 識別與驗證 (組織使用者) | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | IA-4 | 識別碼管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰建立和管理 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (1) | 自動化系統帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (7) | 角色型配置 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-3 | 強制存取 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-4 | 資訊流程強制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-4 | 資訊流程強制 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 存取控制 | AC-17 | 遠端存取 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-17 (1) | 自動化監視/控制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 驗證與授權 | IA-2 | 識別與驗證 (組織使用者) | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | IA-4 | 識別碼管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰建立和管理 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 網路安全性 | NS-2 | 使用網路控制來保護雲端服務 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 網路安全性 | NS-2 | 使用網路控制來保護雲端服務 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 網路安全性 | NS-2 | 使用網路控制來保護雲端服務 | Azure AI 服務資源應該使用 Azure Private Link | 1.0.0 |
| 身分識別管理 | IM-1 | 使用集中式身分識別和驗證系統 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 資料保護 | DP-5 | 必要時在待用資料加密中使用客戶自控金鑰選項 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Azure AI 服務資源中的診斷記錄 | 1.0.0 |
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | 3.1.13 | 採用密碼編譯機制來保護遠端存取工作階段的機密性。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | 3.1.14 | 透過受控存取控制點路由遠端存取。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | 3.1.2 | 限制系統存取授權使用者允許執行的交易和函式類型。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | 3.13.10 | 建立及管理組織性系統中所使用加密的密碼金鑰。 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 驗證與授權 | 3.5.1 | 識別系統使用者、代表使用者的程序,以及裝置。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | 3.5.5 | 防止在定義的期間重複使用識別碼。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | 3.5.6 | 在定義的無活動期間之後停用識別碼。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (1) | 自動化系統帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (7) | 角色型配置 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-3 | 強制存取 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-4 | 資訊流程強制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-4 | 資訊流程強制 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 存取控制 | AC-17 | 遠端存取 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-17 (1) | 自動化監視/控制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 驗證與授權 | IA-2 | 識別與驗證 (組織使用者) | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | IA-4 | 識別碼管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰建立和管理 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-2 | 帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (1) | 自動化系統帳戶管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-2 (7) | 具有特殊權限的使用者帳戶 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-3 | 強制存取 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | AC-4 | 資訊流程強制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-4 | 資訊流程強制 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 存取控制 | AC-17 | 遠端存取 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 存取控制 | AC-17 (1) | 監視和控制 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 驗證與授權 | IA-2 | 識別與驗證 (組織使用者) | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | IA-4 | 識別碼管理 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰的建立和管理 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
NL BIO 雲端主題
若要檢閱所有 Azure 服務中可用的 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 NL BIO 雲端主題的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性:數位政府 (digitaleoverheid.nl)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| U.05.2 資料保護 - 加密措施 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
| U.07.1 資料隔離 - 隔離式方案 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控方式實現。 | [已被取代]:認知服務應使用私人連結 | 3.0.1-deprecated |
| U.07.1 資料隔離 - 隔離式方案 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控方式實現。 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
| U.07.3 資料區隔 - 管理功能 | U.07.3 | U.07.3 - 檢視或修改 CSC 資料和/或加密金鑰的權限會以受控制的方式授與,且使用上會有記錄。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.10.2 對 IT 服務和資料的存取權 - 使用者 | U.10.2 | 根據 CSP 的責任,會將存取權授與系統管理員。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.10.3 對 IT 服務和資料的存取權 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.10.5 對 IT 服務和資料的存取權 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.11.3 加密服務 - 已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方式,請參閱 Azure 原則法規合規性 - RBI ITF 銀行 v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 進階即時威脅防禦與管理 | 進階即時威脅防禦與管理-13.4 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 | |
| 防網路釣魚 | 防網路釣魚 -14.1 | Azure AI 服務資源應限制網路存取 | 3.2.0 |
系統和組織控制 (SOC) 2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於系統和組織控制 (SOC) 2 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱系統和組織控制 (SOC) 2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 2.2.0 |
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。