適用於 Azure App Service 的 Azure 原則內建定義
此頁面是 Azure App 服務 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure App Service
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:App Service 方案應該是「區域備援」 | App Service 方案可以設定為「區域備援」。 當 App Service 方案的 'zoneRedundant' 屬性設定為 'false' 時,不會設定為「區域備援」。 此原則會識別並強制執行 App Service 方案的區域備援組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| 應將 App Service 應用程式插槽插入虛擬網路中 | 將 App Service 應用程式插入虛擬網路中,即可開啟進階的 App Service 網路與安全性功能,並為您提供更好的網路安全性設定控制權。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 應用程式插槽應停用公用網路存取 | 停用公用網路存取可確保 App Service 不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制 App Service 的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
| App Service 應用程式位置應啟用路由至 Azure 虛擬網路的設定 | 根據預設,提取容器映像和掛接內容儲存體等應用程式組態不會透過區域虛擬網路整合路由傳送。 使用 API 將路由選項設定為 true,可透過 Azure 虛擬網路啟用組態流量。 這些設定允許網路安全性群組和使用者定義路由等功能,以及將服務端點設為私人。 如需詳細資訊,請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 應用程式插槽應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量 | 根據預設,如果使用的是區域 Azure 虛擬網路 (VNET) 整合,應用程式只會將 RFC1918 流量路由傳送到該個別的虛擬網路。 使用 API 將 'vnetRouteAllEnabled' 設定為 true,可讓所有輸出流量進入 Azure 虛擬網路。 此設定可讓網路安全性群組和使用者定義路由等功能用於來自 App Service 應用程式的所有輸出流量。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式插槽應停用 FTP 部署的本機驗證方法 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
| App Service 應用程式插槽應停用 SCM 網站部署的本機驗證方法 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.4 |
| App Service 應用程式插槽應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 1.0.1 |
| App Service 應用程式插槽應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式位置應只能透過 HTTPS 來存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 2.0.0 |
| App Service 應用程式插槽應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式插槽應為其內容目錄使用 Azure 檔案共用 | 應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 1.0.0 |
| App Service 應用程式插槽應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式插槽應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式插槽應使用最新版的 TLS | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 1.1.0 |
| 使用 JAVA 的 App Service 應用程式插槽應使用指定的「Java 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 JAVA 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 使用 PHP 的 App Service 應用程式插槽應使用指定的「PHP 版本」 | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 使用 Python 的 App Service 應用程式插槽應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應插入虛擬網路中 | 將 App Service 應用程式插入虛擬網路中,即可開啟進階的 App Service 網路與安全性功能,並為您提供更好的網路安全性設定控制權。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 3.0.0 |
| App Service 應用程式應停用公用網路存取 | 停用公用網路存取可確保 App Service 不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制 App Service 的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.1.0 |
| App Service 應用程式應啟用路由至 Azure 虛擬網路的設定 | 根據預設,提取容器映像和掛接內容儲存體等應用程式組態不會透過區域虛擬網路整合路由傳送。 使用 API 將路由選項設定為 true,可透過 Azure 虛擬網路啟用組態流量。 這些設定允許網路安全性群組和使用者定義路由等功能,以及將服務端點設為私人。 如需詳細資訊,請瀏覽 https://aka.ms/appservice-vnet-configuration-routing。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 應用程式應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量 | 根據預設,如果使用的是區域 Azure 虛擬網路 (VNET) 整合,應用程式只會將 RFC1918 流量路由傳送到該個別的虛擬網路。 使用 API 將 'vnetRouteAllEnabled' 設定為 true,可讓所有輸出流量進入 Azure 虛擬網路。 此設定可讓網路安全性群組和使用者定義路由等功能用於來自 App Service 應用程式的所有輸出流量。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
| App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應停用 FTP 部署的本機驗證方法 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
| App Service 應用程式應停用 SCM 網站部署的本機驗證方法 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists, Disabled | 1.0.3 |
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service應用程式應使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至應用程式,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/private-link。 | Audit, Deny, Disabled | 4.1.0 |
| App Service 應用程式應使用虛擬網路服務端點 | 使用虛擬網路服務端點,限制從 Azure 虛擬網路中的選定子網路對您應用程式的存取。 若要深入了解 App Service 服務端點,請瀏覽 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists, Disabled | 2.0.1 |
| App Service 應用程式應為其內容目錄使用 Azure 檔案共用 | 應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 3.0.0 |
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service 應用程式應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至 App Service,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/private-link。 | AuditIfNotExists, Disabled | 1.0.1 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 使用 JAVA 的 App Service 應用程式應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 JAVA 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
| 使用 PHP 的 App Service 應用程式應使用指定的「PHP 版本」 | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 3.2.0 |
| 使用 Python 的 App Service 應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
| App Service 環境應用程式不應能透過公用網際網路連線 | 為了確保在 App Service 環境中部署的應用程式無法透過公用網際網路存取,您應該使用虛擬網路中的 IP 位址來部署 App Service 環境。 若要將 IP 位址設為虛擬網路 IP,App Service 環境必須使用內部負載平衡器進行部署。 | Audit, Deny, Disabled | 3.0.0 |
| App Service 環境應使用最強的 TLS 加密套件來設定 | App Service 環境正常運作所需的兩種最基本和最強大的加密套件為:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 以及 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit, Disabled | 1.0.0 |
| App Service 環境應使用最新版本來佈建 | 只允許佈建第 2 版或第 3 版 App Service 環境。 舊版 App Service 環境需要手動管理 Azure 資源,並具有更大的縮放限制。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 環境應啟用內部加密 | 將 InternalEncryption 設定為 True,會讓 App Service 環境中前端與背景工作角色之間的分頁檔、背景工作角色磁碟和內部網路流量加密。 若要深入了解,請參閱 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit, Disabled | 1.0.1 |
| App Service 環境應停用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 是不支援新式密碼編譯演算法的過時通訊協定。 停用輸入 TLS 1.0 和 1.1 流量有助於保護 App Service 環境中的應用程式。 | Audit, Deny, Disabled | 2.0.1 |
| 設定 App Service 應用程式插槽以停用 FTP 部署的本機驗證 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
| 設定 App Service 應用程式插槽以停用 SCM 網站的本機驗證 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 插槽僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
| 設定 App Service 應用程式插槽以停用公用網路存取 | 停用 App Services 的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
| 將 App Service 應用程式位置設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
| 設定 App Service 應用程式插槽以關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.1.0 |
| 將 App Service 應用程式插槽設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定 App Service 應用程式以停用 FTP 部署的本機驗證 | 針對 FTP 部署停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
| 設定 App Service 應用程式以停用 SCM 網站的本機驗證 | 針對 SCM 網站停用本機驗證方法,藉由確保 App Service 僅可要求以 Microsoft Entra 身分認證進行驗證,以提升安全性。 深入了解:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists, Disabled | 1.0.3 |
| 設定 App Service 應用程式以停用公用網路存取 | 停用 App Services 的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
| 將 App Service 應用程式設定為只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
| 將 App Service 應用程式設定為關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將 App Service 應用程式設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定函數應用程式插槽以停用公用網路存取 | 停用函數應用程式的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
| 將函數應用程式插槽設定為只能經由 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
| 設定函數應用程式插槽以關閉遠端偵錯 | 遠端偵錯需要在函式應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.1.0 |
| 將函數應用程式插槽設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定函數應用程式以停用公用網路存取 | 停用函數應用程式的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/app-service-private-endpoint。 | 修改、停用 | 1.1.0 |
| 將函數應用程式設定為只能經由 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 修改、停用 | 2.0.0 |
| 將函數應用程式設定為關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將函數應用程式設定為使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | DeployIfNotExists, Disabled | 1.1.0 |
| 針對 App Service (microsoft.web/sites) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對 App Service (microsoft.web/sites) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 App Service 環境 (microsoft.web/hostingenvironments) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 App Service 環境 (microsoft.web/hostingenvironments) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 App Service 環境 (microsoft.web/hostingenvironments) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 App Service 環境 (microsoft.web/hostingenvironments) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 App Service 環境 (microsoft.web/hostingenvironments) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 App Service 環境 (microsoft.web/hostingenvironments) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對函數應用程式 (microsoft.web/sites) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,以針對函數應用程式 (microsoft.web/sites) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 函數應用程式插槽應停用公用網路存取 | 停用公用網路存取可確保函數應用程式不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制函數應用程式的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
| 函數應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式插槽應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式插槽應只能透過 HTTPS 存取 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 2.0.0 |
| 函數應用程式插槽應該只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式插槽應使用 Azure 檔案共用作為其內容目錄 | 函數應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 1.0.0 |
| 函數應用程式插槽應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式插槽應使用最新版的 TLS | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 1.1.0 |
| 使用 JAVA 的函數應用程式插槽應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 使用 Python 的函數應用程式插槽應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式應停用公用網路存取 | 停用公用網路存取可確保函數應用程式不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制函數應用程式的曝光程度。 深入了解:https://aka.ms/app-service-private-endpoint。 | 稽核、停用、拒絕 | 1.0.0 |
| 函數應用程式應已啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式,也可以在擁有權杖的要求送達函數應用程式前予以驗證。 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用 Azure 檔案共用作為其內容目錄 | 函數應用程式的內容目錄應位於 Azure 檔案共用上。 檔案共用的儲存體帳戶資訊必須在任何發佈活動之前提供。 若要深入了解如何使用 Azure 檔案儲存體來裝載應用程式服務內容,請參閱:https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit, Disabled | 3.0.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 使用 JAVA 的函數應用程式應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
| 使用 Python 的函數應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
版本資訊
2024 年 10 月
- App Service 應用程式和位置現在支援 TLS 1.3。 已更新下列原則,以強制將最低 TLS 版本設定為 1.3:
- 「App Service 應用程式應該使用最新的 TLS 版本」
- 「App Service 應用程式位置應該使用最新的 TLS 版本」
- 「將 App Service 應用程式設定為使用最新的 TLS 版本」
- 「設定 App Service 應用程式位置以使用最新的 TLS 版本」
- 「函式應用程式應該使用最新的 TLS 版本」
- 「設定函式應用程式以使用最新的 TLS 版本」
- 「函式應用程式位置應該使用最新的 TLS 版本」
- 「設定函式應用程式位置以使用最新的 TLS 版本」
2023 年 4 月
- 使用 Java 的 App Service 應用程式應使用最新的「Java 版本」
- 將原則重新命名為「使用 JAVA 的 App Service 應用程式應使用指定的「JAVA 版本」」
- 更新原則,使其在指派之前需要版本規格
- 使用 Python 的 App Service 應用程式應使用最新的「Python 版本」
- 將原則重新命名為「使用 Python 的 App Service 應用程式應使用指定的「Python 版本」」
- 更新原則,使其在指派之前需要版本規格
- 使用 Java 的函數應用程式應使用最新的「Java 版本」
- 將原則重新命名為「使用 JAVA 的函數應用程式應使用指定的「JAVA 版本」」
- 更新原則,使其在指派之前需要版本規格
- 使用 Python 的函數應用程式應使用最新的「Python 版本」
- 將原則重新命名為「使用 Python 的函數應用程式應使用指定的「Python 版本」」
- 更新原則,使其在指派之前需要版本規格
- 使用 PHP 的 App Service 應用程式應使用最新的「PHP 版本」
- 將原則重新命名為「使用 PHP 的 App Service 應用程式應使用指定的「PHP 版本」」
- 更新原則,使其在指派之前需要版本規格
- 使用 Python 的 App Service 應用程式插槽應使用指定的「Python 版本」
- 已建立新原則
- 使用 Python 的函數應用程式插槽應使用指定的「Python 版本」
- 已建立新原則
- 使用 PHP 的 App Service 應用程式插槽應使用指定的「PHP 版本」
- 已建立新原則
- 使用 Java 的 App Service 應用程式插槽應使用指定的「Java 版本」
- 已建立新原則
- 使用 Java 的函數應用程式插槽應使用指定的「Java 版本」
- 已建立新原則
2022 年 11 月
- 淘汰 App Service 應用程式應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量原則
- 根據站台屬性取代為具有相同顯示名稱的原則,以支援拒絕效果
- 淘汰 App Service 應用程式插槽應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量原則
- 根據站台屬性取代為具有相同顯示名稱的原則,以支援拒絕效果
- App Service 應用程式應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量
- 已建立新原則
- App Service 應用程式插槽應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量
- 已建立新原則
- App Service 應用程式應啟用路由至 Azure 虛擬網路的設定
- 已建立新原則
- App Service 應用程式位置應啟用路由至 Azure 虛擬網路的設定
- 已建立新原則
2022 年 10 月
- 函數應用程式插槽應關閉遠端偵錯
- 已建立新原則
- App Service 應用程式插槽應關閉遠端偵錯
- 已建立新原則
- 函數應用程式插槽應使用最新的「HTTP 版本」
- 已建立新原則
- 函數應用程式插槽應使用最新版的 TLS
- 已建立新原則
- App Service 應用程式插槽應使用最新版的 TLS
- 已建立新原則
- App Service 應用程式插槽應啟用資源記錄
- 已建立新原則
- App Service 應用程式插槽應為 Azure 虛擬網路啟用輸出非 RFC 1918 流量
- 已建立新原則
- App Service 應用程式插槽應使用受控識別
- 已建立新原則
- App Service 應用程式插槽應使用最新的「HTTP 版本」
- 已建立新原則
- 淘汰設定 App Service 以停用公用網路存取原則
- 以「設定 App Service 應用程式以停用公用網路存取」取代
- 淘汰 App Service 應停用公用網路存取原則
- 取代為「App Service 應用程式應停用公用網路存取」以支援拒絕效果
- App Service 應用程式應停用公用網路存取
- 已建立新原則
- App Service 應用程式插槽應停用公用網路存取
- 已建立新原則
- 設定 App Service 應用程式以停用公用網路存取
- 已建立新原則
- 設定 App Service 應用程式插槽以停用公用網路存取
- 已建立新原則
- 函數應用程式應停用公用網路存取
- 已建立新原則
- 函數應用程式插槽應停用公用網路存取
- 已建立新原則
- 設定函數應用程式以停用公用網路存取
- 已建立新原則
- 設定函數應用程式插槽以停用公用網路存取
- 已建立新原則
- 設定 App Service 應用程式插槽以關閉遠端偵錯
- 已建立新原則
- 設定函數應用程式插槽以關閉遠端偵錯
- 已建立新原則
- 將 App Service 應用程式插槽設定為使用最新的 TLS 版本
- 已建立新原則
- 將函數應用程式插槽設定為使用最新的 TLS 版本
- 已建立新原則
- App Service 應用程式應使用最新的「HTTP 版本」
- 更新範圍以包含 Windows 應用程式
- 函數應用程式應使用最新的「HTTP 版本」
- 更新範圍以包含 Windows 應用程式
- App Service 環境應用程式不應能透過公用網際網路連線
- 修改原則定義以移除 API 版本的檢查
2022 年 9 月
- App Service 應用程式應插入虛擬網路中
- 更新原則範圍以移除位置
- 建立「App Service 應用程式插槽應插入虛擬網路中」,以監視插槽
- 更新原則範圍以移除位置
- 應將 App Service 應用程式插槽插入虛擬網路中
- 已建立新原則
- 函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」
- 更新原則範圍以移除位置
- 建立「函數應用程式插槽應啟用用戶端憑證 (傳入用戶端憑證)」,以監視插槽
- 更新原則範圍以移除位置
- 函數應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」
- 已建立新原則
- 函數應用程式應使用 Azure 檔案共用作為其內容目錄
- 更新原則範圍以移除位置
- 建立「函數應用程式插槽應使用 Azure 檔案共用作為其內容目錄」,以監視插槽
- 更新原則範圍以移除位置
- 函數應用程式插槽應使用 Azure 檔案共用作為其內容目錄
- 已建立新原則
- App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」
- 更新原則範圍以移除位置
- 建立「App Service 應用程式插槽應啟用用戶端憑證 (傳入用戶端憑證)」,以監視插槽
- 更新原則範圍以移除位置
- App Service 應用程式插槽應啟用「用戶端憑證 (傳入用戶端憑證)」
- 已建立新原則
- App Service 應用程式應為其內容目錄使用 Azure 檔案共用
- 更新原則範圍以移除位置
- 建立「App Service 應用程式插槽應為其內容目錄使用 Azure 檔案共用」,以監視插槽
- 更新原則範圍以移除位置
- App Service 應用程式插槽應為其內容目錄使用 Azure 檔案共用
- 已建立新原則
- 函數應用程式插槽應該只需要 FTPS
- 已建立新原則
- App Service 應用程式插槽應只需要 FTPS
- 已建立新原則
- 函數應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式
- 已建立新原則
- App Service 應用程式插槽不應將 CORS 設定為允許每個資源存取您的應用程式
- 已建立新原則
- 應只能透過 HTTPS 存取函數應用程式
- 更新原則範圍以移除位置
- 建立「應只能透過 HTTPS 存取函數應用程式插槽」,以監視插槽
- 新增「拒絕」效果
- 建立「將函數應用程式設定為只能透過 HTTPS 存取」,以強制執行原則
- 更新原則範圍以移除位置
- 函數應用程式插槽應只能透過 HTTPS 存取
- 已建立新原則
- 將函數應用程式設定為只能經由 HTTPS 存取
- 已建立新原則
- 將函數應用程式插槽設定為只能經由 HTTPS 存取
- 已建立新原則
- App Service應用程式應使用支援私人連結的 SKU
- 更新原則支援的 SKU 清單,以包含 Logic Apps 的工作流程標準層
- 將 App Service 應用程式設定為使用最新的 TLS 版本
- 已建立新原則
- 將函數應用程式設定為使用最新的 TLS 版本
- 已建立新原則
- 將 App Service 應用程式設定為關閉遠端偵錯
- 已建立新原則
- 將函數應用程式設定為關閉遠端偵錯
- 已建立新原則
2022 年 8 月
- 應該僅限透過 HTTPS 來存取 App Service 應用程式
- 更新原則範圍以移除位置
- 建立「App Service 應用程式位置應只能透過 HTTPS 來存取」,以監視位置
- 新增「拒絕」效果
- 建立「將 App Service 應用程式設定為只能透過 HTTPS 存取」,以強制執行原則
- 更新原則範圍以移除位置
- App Service 應用程式位置應只能透過 HTTPS 來存取
- 已建立新原則
- 將 App Service 應用程式設定為只能透過 HTTPS 存取
- 已建立新原則
- 將 App Service 應用程式位置設定為只能透過 HTTPS 存取
- 已建立新原則
2022 年 7 月
- 取代下列原則:
- 確定 API 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟]
- 確定 'Python' 在作為 API 應用程式的一部分時,版本是最新的
- CORS 不應允許每項資源存取您的 API 應用程式
- API 應用程式應該使用受控識別
- 應關閉 API 應用程式的遠端偵錯
- 確定 'PHP' 在作為 API 應用程式的一部分時,版本是最新的
- API 應用程式應使用 Azure 檔案共用作為其內容目錄
- 只有在 API 應用程式中才應該要求 FTPS
- 確定 'Java' 在作為 API 應用程式的一部分時,版本是最新的
- 確定 'HTTP' 在用來執行 API 應用程式時,版本是最新的
- 您的 API 應用程式應使用最新的 TLS 版本
- 您的 API 應用程式應啟用驗證
- 函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」
- 更新原則範圍以包含位置
- 更新原則範圍以排除邏輯應用程式
- 確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟]
- 將原則重新命名為「App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」」
- 更新原則範圍以包含位置
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 確定 'Python' 在作為 Web 應用程式的一部分時,版本是最新的
- 將原則重新命名為「使用 Python 的 App Service 應用程式應使用最新的「Python 版本」」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 確定 'Python' 在作為函式應用程式的一部分時,版本是最新的
- 將原則重新命名為「使用 Python 的函數應用程式應使用最新的「Python 版本」」
- 更新原則範圍以排除邏輯應用程式
- CORS 不應允許每項資源存取您的 Web 應用程式
- 將原則重新命名為「App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- CORS 不應允許每項資源存取函式應用程式
- 將原則重新命名為「函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式」
- 更新原則範圍以排除邏輯應用程式
- 函式應用程式應該使用受控識別
- 將原則重新命名為「函數應用程式應使用受控識別」
- 更新原則範圍以排除邏輯應用程式
- Web 應用程式應該使用受控識別
- 將原則重新命名為「App Service 應用程式應使用受控識別」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 函式應用程式的遠端偵錯應關閉
- 函數應用程式應關閉遠端偵錯
- 更新原則範圍以排除邏輯應用程式
- 應關閉 Web 應用程式的遠端偵錯
- App Service 應用程式應關閉遠端偵錯
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 確定 'PHP' 在作為 Web 應用程式的一部分時,版本是最新的
- 將原則重新命名為「使用 PHP 的 App Service 應用程式應使用最新的「PHP 版本」」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- App Service 插槽應停用 SCM 網站部署的本機驗證方法
- 將原則重新命名為「App Service 應用程式插槽應停用 SCM 網站部署的本機驗證方法」
- App Service 應停用 SCM 網站部署的本機驗證方法
- 將原則重新命名為「App Service 應用程式應停用 SCM 網站部署的本機驗證方法」
- App Service 插槽應停用 FTP 部署的本機驗證方法
- 將原則重新命名為「App Service 應用程式插槽應停用 FTP 部署的本機驗證方法」
- App Service 應停用 FTP 部署的本機驗證方法
- 將原則重新命名為「App Service 應用程式應停用 FTP 部署的本機驗證方法」
- 函數應用程式應使用 Azure 檔案共用作為其內容目錄
- 更新原則範圍以包含位置
- 更新原則範圍以排除邏輯應用程式
- Web 應用程式應使用 Azure 檔案共用作為其內容目錄
- 將原則重新命名為「App Service 應用程式應為其內容目錄使用 Azure 檔案共用」
- 更新原則範圍以包含位置
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 只有在函式應用程式中才應該要求 FTPS
- 將原則重新命名為「函數應用程式應僅需要 FTPS」
- 更新原則範圍以排除邏輯應用程式
- Web 應用程式中應該要求 FTPS
- 將原則重新命名為「函數應用程式應僅需要 FTPS」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 確定 'Java' 在作為函式應用程式的一部分時,版本是最新的
- 將原則重新命名為「使用 JAVA 的函數應用程式應使用最新的「JAVA 版本」」
- 更新原則範圍以排除邏輯應用程式
- 確定 'Java' 在作為 Web 應用程式的一部分時,版本是最新的
- 將原則重新命名為「使用 JAVA 的 App Service 應用程式應使用最新的「JAVA 版本」」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- App Service 應使用私人連結
- 將原則重新命名為「App Service 應用程式應使用私人連結」
- 設定 App Service,以使用私人 DNS 區域
- 將原則重新命名為「設定App Service 應用程式以使用私人 DNS 區域」
- App Service 應用程式應插入虛擬網路
- 將原則重新命名為「App Service 應用程式應插入虛擬網路」
- 更新原則範圍以包含位置
- 確定 'HTTP' 在用來執行 Web 應用程式時,版本是最新的
- 將原則重新命名為「App Service 應用程式應使用最新的「HTTP 版本」」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 確定 'HTTP' 在用來執行函式應用程式時,版本是最新的
- 將原則重新命名為「函數應用程式應使用最新的「HTTP 版本」」
- 更新原則範圍以排除邏輯應用程式
- 您的 Web 應用程式應使用最新的 TLS 版本
- 將原則重新命名為「App Service 應用程式應使用最新的「TLS 版本」」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 您的函式應用程式應使用最新的 TLS 版本
- 將原則重新命名為「函數應用程式應使用最新的「TLS 版本」」
- 更新原則範圍以排除邏輯應用程式
- App Service 環境應停用 TLS 1.0 與 1.1
- 將原則重新命名為「App Service 環境應停用 TLS 1.0 和 1.1」
- 應啟用 App Service 中的資源記錄
- 將原則重新命名為「App Service 應用程式應已啟用資源記錄」
- 您的 Web 應用程式應啟用驗證
- 將原則重新命名為「App Service 應用程式應已啟用驗證」
- 您的函式應用程式應啟用驗證
- 將原則重新命名為「函數應用程式應已啟用驗證」
- 更新原則範圍以排除邏輯應用程式
- App Service 環境應啟用內部加密
- 將原則重新命名為「App Service 環境應已啟用內部加密」
- 應只能透過 HTTPS 存取函數應用程式
- 更新原則範圍以排除邏輯應用程式
- App Service 應該使用虛擬網路服務端點
- 將原則重新命名為「App Service 應用程式應使用虛擬網路服務端點」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
2022 年 6 月
- 淘汰原則:應只能透過 HTTPS 存取 API 應用程式
- Web 應用程式應只可經由 HTTPS 存取
- 將原則重新命名為「App Service 應用程式應只能透過 HTTPS 來存取」
- 更新原則範圍以包含函數應用程式以外的所有應用程式類型
- 更新原則範圍以包含位置
- 應只能透過 HTTPS 存取函數應用程式
- 更新原則範圍以包含位置
- App Service應用程式應使用支援私人連結的 SKU
- 更新原則的邏輯,以包含 App Service 方案層或名稱的檢查,讓原則支援 Terraform 部署
- 更新原則支援的 SKU 清單,以包含基本和標準層
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。