Microsoft Cloud for Sovereignty 基準全域建方案的詳細資料
下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應至 Microsoft Cloud for Sovereignty 基準全域原則中的合規性領域與控制項。 如需此合規性標準的詳細資訊,請參閱 Microsoft Cloud for Sovereignty 基準全域原則。 若要了解所有權,請檢閱原則類型與雲端中共同承擔的責任。
下列對應與 Microsoft Cloud for Sovereignty 基準全域原則 控制項對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 [預覽]:主權基準 - 全域原則法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
SO.1 - 資料落地
Azure 產品必須部署並設定為使用核准的區域。
識別碼:MCfS 主權基準原則 SO.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
允許的位置 | 此原則可讓您限制您的組織在部署資源時可指定的位置。 它可用來強制執行地理合規性需求。 排除資源群組、Microsoft.AzureActiveDirectory/b2cDirectories,以及使用「全球」區域的資源。 | 拒絕 | 1.0.0 |
允許資源群組的位置 | 此原則可讓您限制貴組織可在其中建立資源群組的位置。 它可用來強制執行地理合規性需求。 | 拒絕 | 1.0.0 |
Azure Cosmos DB 允許的位置 | 此原則可讓您限制貴組織在部署 Azure Cosmos DB 資源時可指定的位置。 它可用來強制執行地理合規性需求。 | [parameters('policyEffect')] | 1.1.0 |
SO.5 - 可信啟動
VM 應該設定為盡可能啟用可信啟動 SKU 和可信啟動。
標識碼:MCfS 主權基準原則 SO.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
磁碟和 OS 映像應支援 TrustedLaunch | TrustedLaunch 可改善虛擬機器的安全性,虛擬機器需要 OS 磁碟和 OS 映像才能支援 (Gen 2)。 若要深入了解 TrustedLaunch,請造訪 https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
虛擬機器應已啟用 TrustedLaunch | 在虛擬機器上啟用 TrustedLaunch 以獲得增強的安全性,使用支援 TrustedLaunch 的 VM SKU (Gen 2)。 若要深入了解 TrustedLaunch,請造訪 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。